用户指南 - Eset

用户指南
(用于产品的 . 版本以及更高版本)
Microsoft® Windows® / Vista / XP / NT / / /

版权所有 ESET, spol. s r. o.
ESET NOD Antivirus 由 ESET, spol. s r.o. 开发
有关详细信息,请访问 www.eset.com。
保留所有权利。未经作者的书面同意,不得以任何形式或方式
(包括电子、 机械、影印、录制、扫描等)将本文档的任何部分
复制、 存储到检索系统或进行传播。
ESET, spol. s r.o. 保留对所述应用程序软件进行任何更改而不另行
通知的权利。
全球客户服务:www.eset.eu/support
北美客户服务:www.eset.com/support
REV.-
目录
. ESET NOD Antivirus .......................
. 新增功能 ........................................................................
. 系统需求 ........................................................................
. 安装 ...................................................
. 典型安装 ........................................................................
. 自定义安装 .....................................................................
. 使用原始设置 ..................................................................
. 输入用户名和密码 ............................................................
. 手动计算机扫描 ...............................................................
. 入门指南 .............................................
. 用户界面设计简介 – 模式 ...................................................
.. 检查系统操作 ..........................................................
.. 程序工作不正常时如何应对 .....................................
. 更新设置 .......................................................................
. 代理服务器设置 ..............................................................
. 访问保护 ........................................................................
. 使用 ESET NOD Antivirus ..................
. 病毒和间谍软件防护 ........................................................
.. 实时文件系统防护 ..................................................
... 控制设置 ...............................................................
.... 要扫描的对象 ........................................................
.... 运行扫描于(事件触发式扫描) ...............................
.... 用于新建文件和已修改文件的其它 ThreatSense 参数 ....
.... 高级设置 ...............................................................
... 清除级别 ...............................................................
... 何时修改实时防护配置 ...........................................
... 检查实时防护 ........................................................
... 如果实时防护不工作怎么办 ......................................
.. 电子邮件客户端防护 ...............................................
... POP 检查 .............................................................
.... 兼容性 ..................................................................
... 电子邮件客户端集成 ...............................................
.... 将标记消息附加到邮件正文 ......................................
... 删除渗透 ...............................................................
.. Web 访问保护 ........................................................
... HTTP、 HTTPS.......................................................
.... 地址管理 ...............................................................
.... Web 浏览器 ...........................................................

.. 计算机扫描 ............................................................
... 扫描类型 ...............................................................
.... 智能扫描 ...............................................................
.... 自定义扫描 ............................................................
... 扫描目标 ...............................................................
... 扫描配置文件 .........................................................
.. 协议过滤 ...............................................................
... SSL .......................................................................
.... 受信任证书 ............................................................
.... 排除的证书 ............................................................
.. ThreatSense 引擎参数设置 .....................................
... 对象设置 ...............................................................
... 选项......................................................................
... 清除......................................................................
... 扩展名 ..................................................................
... 限制......................................................................
... 其它......................................................................
.. 检测到渗透 ...........................................................
. 更新程序 ......................................................................
.. 更新设置 ..............................................................
... 更新配置文件 .........................................................
... 高级更新设置 .........................................................
.... 更新模式 ...............................................................
.... 代理服务器 ...........................................................
.... 连接到 LAN ..........................................................
.... 创建更新副本 – 镜像 ..............................................
..... 从镜像更新 ...........................................................
..... 镜像更新问题故障排除 ...........................................
.. 如何创建更新任务 .................................................
. 计划任务 .......................................................................
.. 计划任务的目的.....................................................
.. 创建新任务 ...........................................................
. 隔离区..........................................................................
.. 隔离文件 ..............................................................
.. 从隔离区恢复 ........................................................
.. 提交隔离区中的文件 ..............................................
. 日志文件 ......................................................................
.. 日志维护 ..............................................................
. 用户界面 ......................................................................
.. 警告和通知 ...........................................................
. ThreatSense.Net ..........................................................
.. 可疑文件 ..............................................................
.. 统计.....................................................................
.. 提交.....................................................................
. 远程管理 ......................................................................
. 许可 ...........................................................................
. 高级用户 ............................................
. 代理服务器设置 ..............................................................
. 导出/导入设置 ...............................................................
.. 导出设置 ...............................................................
.. 导入设置 ...............................................................
. 命令列..........................................................................
. ESET SysInspector ........................................................
.. 用户界面和应用程序用法 ........................................
... 程序控件 ..............................................................
... 导航 ESET SysInspector .........................................
... 比较.....................................................................
... SysInspector 作为 ESET NOD Antivirus
的组成部分 ...........................................................
... 服务脚本 ..............................................................
.... 生成服务脚本 ........................................................
.... 服务脚本的结构.....................................................
.... 如何执行服务脚本 .................................................
. ESET SysRescue .............................................................
.. 最低需求 ..............................................................
.. 如何创建修复 CD ...................................................
... 文件夹 .................................................................
... ESET 病毒防护 ......................................................
... 高级.....................................................................
... USB 引导设备 .......................................................
... 刻录.....................................................................
.. 使用 ESET SysRescue ............................................
... 使用 ESET SysRescue ............................................
. 病毒库 ...............................................
. 渗透类型 .......................................................................
.. 病毒.....................................................................
.. 蠕虫.....................................................................
.. 木马.....................................................................
.. Rootkit................................................................
.. 广告软件 ..............................................................
.. 间谍软件 ..............................................................
.. 潜在的不安全应用程序 ...........................................
.. 潜在不受欢迎的应用程序 ........................................

. ESET NOD Antivirus
ESET NOD Antivirus 是曾获奖的 ESET NOD Antivirus .* 产品的换
代产品。该产品利用了 ESET NOD Antivirus 的扫描速度和精确度,最新
版的 ThreatSense® 扫描引擎可确保实现这种速度和精确度。
使用的高级技术能够主动阻止病毒、间谍软件、木马、蠕虫、恶意软件和
rootkit,而不会造成系统性能下降或在您使用计算机进行工作或游戏时骚
扰您。
. 新增功能
ESET NOD Antivirus 程序的全新架构体现了我公司专家长期的开发经验,
这一架构可确保以最低系统需求实现最大保护性能。
•
病毒和间谍软件防护
此模块以 ThreatSense® 扫描核心为基础,此核心首次应用是在曾获奖的
NOD Antivirus 系统中。ThreatSense® 核心通过新的 ESET NOD
Antivirus 架构进行了优化和改进。
功能 说明
对清除做了改进 病毒防护系统现在可智能清除和删除大部分检测
到的渗透,无需用户干预。
后台扫描模式 计算机扫描可在后台启动,且不会降低系统性能。
更小的更新文件 核心优化过程使更新文件比 . 版本中更小,并
且提高了防止破坏更新文件的能力。
受欢迎的电子邮件客
户端防护
现在不仅可以在 MS Outlook 中,而且可以在
Outlook Express、Windows Mail、Windows
Live Mail 和 Mozilla Thunderbird 中扫描传入
的邮件。
其它各种小改进 – 直接访问文件系统以获得高速度和吞吐量。
– 阻止访问被感染文件
– 对 Windows 安全中心(包括 Vista)进行优化。
•
其它
功能 说明
ESET SysRescue ESET SysRescue 可使用户创建一个包含 ESET
NOD Antivirus 的 CD/DVD/USB 引导设备,
该设备可独立于操作系统运行。它最适合于让系
统摆脱难以删除的渗透。
ESET SysInspector ESET SysInspector 是一种可以彻底检查您的计
算机的应用程序,现在直接集成于 ESET NOD
Antivirus 中。如果您使用帮助和支持 > 客户服
务支持请求(建议)选项联系我们的客户服务,
则可以选择包括计算机的 ESET SysInspector 状
态快照。
文档防护 文档防护可用于在打开 Microsoft Oce 文档
之前对其进行扫描,还会扫描通过 Internet
Explorer 自动下载的文件,如 Microsoft
ActiveX 元素。
自我保护 新的自我保护技术可保护 ESET NOD Antivirus
组件以防止停止尝试操作。
用户界面 用户界面现在可在非图形模式中工作,这允许对
ESET NOD Antivirus 进行键盘控制。
屏幕阅读应用程序的功能在不断增加,这使有视
觉障碍的用户可更加高效地控制该程序。
. 系统需求
要使 ESET NOD Antivirus 无缝运行,系统应满足以下硬件和软件需求:
ESET NOD Antivirus:
Windows NT SP、
和 XP
MHz 位 / 位 (x / x)
MB RAM 系统内存
MB 可用空间
Super VGA ( × )
Windows 和 Vista GHz 位 / 位 (x / x)
MB RAM 系统内存
MB 可用空间
Super VGA ( × )
ESET NOD Antivirus 商业版:
Windows NT SP、
、
Server、XP 和
Server
Windows 、Vista
和 Windows Server
MHz 位 / 位 (x / x)
MB RAM 系统内存
MB 可用空间
Super VGA ( × )
GHz 位 / 位 (x / x)
MB RAM 系统内存
MB 可用空间
Super VGA ( × )
注意:反隐藏和自我保护功能在 Windows NT SP 上不可用。

. 安装
购买后,ESET NOD Antivirus 安装程序可以作为一个 .msi 程序包从
ESET 的网站上下载。启动安装程序,安装向导将引导您完成基本设置。
有两种安装方式可供选择,二者具有不同级别的设置细节:
. 典型安装
. 自定义安装
. 典型安装
对于想采用 ESET NOD Antivirus 默认设置的用户,建议使用典型安装。
程序的默认设置可提供最高级别的保护,这是那些不需要详细设置配置的
用户欣赏的一点。
第一步(非常重要)是输入用户名和密码以便自动更新程序。在为系统提
供持续保护方面,这是不可或缺的重要步骤。
在相应字段中输入用户名和密码(即在购买或注册产品后收到的验证数
据)。如果您目前没有用户名和密码可用,请选择以后再设置更新参数选
项。日后可以随时直接从程序中插入验证数据。
安装的下一步是配置 ThreatSense.Net 早期预警系统。ThreatSense.Net
早期预警系统有助于确保 ESET 能够及时且不间断地获得有关新渗透的信
息,以便迅速为客户提供保护。该系统允许向 ESET 病毒实验室提交新的
威胁,这些威胁将在实验室被分析、处理并添加到病毒库中。
默认情况下,已选中可启动此功能的启用 ThreatSense.Net 早期预警系统
复选框。单击高级设置... 可修改提交可疑文件的详细设置。
安装过程的下一步是配置检测潜在不受欢迎的应用程序。潜在不受欢迎的
应用程序未必是恶意的,但其可能对操作系统运行产生负面影响。
这些应用程序通常与其它程序捆绑在一起,在安装过程中不容易引起注
意。虽然这些应用程序在安装过程中通常会显示一个通知,但其无需您的
同意即可轻松安装。
选中启用潜在不受欢迎的应用程序检测功能选项可允许 ESET NOD
Antivirus 检测这类威胁(建议)。

典型安装模式的最后一步是单击安装按钮确认安装。
. 自定义安装
自定义安装适用于具有一定的计算机操作经验的用户以及希望在安装期间
修改高级设置的用户。
第一步是选择安装的目标位置。默认情况下,程序会安装在 C:\Program
Files\ESET\ESET NOD Antivirus\ 中。单击浏览… 可更改位置(不建议)。
然后,输入用户名和密码。此步骤与典型安装的步骤相同(见第 页)。
输入用户名和密码后,单击下一步配置 Internet 连接。
如果使用代理服务器,必须对其进行正确配置才能确保病毒库更新程序正常
工作。如果您不知道是否使用代理服务器连接到 Internet,请保留默认设置
我不确定 Internet 连接是否使用代理服务器。使用与 Internet Explorer
相同的设置并单击下一步。如果您未使用代理服务器,请选择相应的选项。
要配置代理服务器设置,请选择我使用代理服务器并单击下一步。在地址
字段中输入代理服务器的 IP 地址或 URL。在端口字段中指定代理服务器接
受连接的端口(默认情况下使用 端口)。如果代理服务器要求验证,
必须输入有效的用户名和密码,才能访问代理服务器。如果需要,也可以从
Internet Explorer 中复制代理服务器设置。为此,请单击应用并确认选择。

单击下一步进入配置自动更新设置窗口。使用此步骤指定系统进行自动程
序组件更新的方式。单击更改... 访问高级设置。
如果您不想更新程序组件,请选择从不更新程序组件。启用下载程序组件
前询问选项会在下载程序组件前显示确认窗口。要在不提示的情况下启动
自动程序组件升级,请选择总是更新程序组件选项。
注意:程序组件升级后,通常需要重新启动。建议的设置为:如果需要,
在不通知的情况下重新启动计算机。
安装的下一个步骤是输入密码以保护程序参数。选择用来保护程序的密码。
重新输入密码以便确认。
配置 ThreatSense.Net 早期预警系统和检测潜在不受欢迎的应用程序的步
骤与典型安装中相应的步骤相同,此处未显示(见第 页)。
最后一步会显示一个窗口,要求您确认安装。
. 使用原始设置
如果重新安装 ESET NOD Antivirus,会显示使用当前设置选项。选择此
选项可将设置参数从原始安装传输到新安装。

. 输入用户名和密码
自动更新程序对获得最佳功能非常重要。只有在更新设置中输入了正确的
用户名和密码,才可能实现这一点。
如果您在安装期间未输入用户名和密码,可以现在输入。在主程序窗口
中,单击更新,然后单击用户名和密码设置...。在许可证详细信息窗口
中,输入您随同产品许可证一同收到的数据。
. 手动计算机扫描
ESET NOD Antivirus 安装完毕后,应执行计算机扫描,以查看是否存在
恶意代码。要快速启动扫描,请在主菜单中选择计算机扫描,然后在主程
序窗口中选择智能扫描。有关计算机扫描功能的详细信息,请参见“计算
机扫描”。

. 入门指南
本章对 ESET NOD Antivirus 及其基本设置进行了初步概述。
. 用户界面设计简介 – 模式
ESET NOD Antivirus 的主窗口分为两个主要部分。从左栏可访问用户友
好主菜单。右侧的主程序窗口主要显示与选中的主菜单选项相关的信息。
以下是主菜单中按钮的说明:
防护状态 – 在用户友好式表格中,提供关于 ESET NOD Antivirus 保护状
态的信息。如果启动了高级模式,则显示所有保护模块的状态。单击某个
模块可查看其当前的状态。
计算机扫描 – 用户使用此选项可配置和启动手动计算机扫描。
更新 – 选择此选项可访问那些管理病毒库更新的更新模块。
设置 – 选择此选项可调整计算机的安全等级。如果启动了高级模式,将显
示病毒和间谍软件防护模块子菜单。
工具 – 此选项只在高级模式下可用。可访问日志文件、隔离和计划任务。
帮助和支持 – 选择此选项可访问帮助文件、ESET 知识库、ESET 网站并访
问客户服务支持请求。
用户可使用 ESET NOD Antivirus 用户界面在标准和高级模式间切换。要
进行模式切换,请参见位于 ESET NOD Antivirus 主窗口左下角的显示链
接。单击此按钮可选择需要的显示模式。
在标准模式下,可访问一般操作所需的功能。不会显示任何高级选项。
切换到高级模式会在主菜单中添加工具选项。用户可通过“工具”选项访
问“计划任务”和“隔离”,和查看 ESET NOD Antivirus 日志文件。
注意:本指南中的所有其它说明都将出现在高级模式中。
.. 检查系统操作
要查看防护状态,请单击主菜单顶部的该选项。病毒和间谍软件防护子菜
单将直接出现在下方,关于 ESET NOD Antivirus 操作的状态摘要出现
主程序窗口中。单击“病毒和间谍软件防护”,主程序窗口中显示各个保
护模块的状态
如果启用的模块工作正常,则会带一个绿色对号标记。如果工作不正常,
则显示红色惊叹号或橙色通知图标,问题模块的其它信息显示在窗口的上
半部分。同时还显示修复该模块的建议解决方案。要更改单个模块的状
态,请在主菜单上单击设置,然后单击所需模块。

.. 程序工作不正常时如何应对
如果 ESET NOD Antivirus 在其任何保护模块中检测到问题,将在防护
状态窗口中进行报告。并在同一位置提供可能的解决方案。
如果利用显示的已知问题及解决方案列表无法解决该问题,则单击帮助
和支持访问帮助文件或搜索知识库。如果仍旧找不到解决方案,可向 ESET
客户服务提交支持请求。我们的支持专家会根据此反馈对您的问题快速做
出响应,并针对问题提出有效建议。
. 更新设置
病毒库更新和程序组件更新是全面防范恶意代码的重要组成部分。请特别
注意这些更新的配置和操作。选择主菜单中的更新,然后单击主程序窗
口中的更新病毒库,可立即检查是否有新的数据库更新。用户名和密码
设置... 显示一个对话框,应在其中输入购买时收到的用户名和密码。
如果已在安装 ESET NOD Antivirus 过程中输入了用户名和密码,此时将
没有输入提示。
高级设置(按 F 进入)窗口包含其它详细的更新选项。更新服务器:下拉菜单
应设置为自动选择。若要配置高级更新选项,如更新模式、代理服务器访问、
访问本地服务器上的更新和创建病毒库镜像(ESET NOD Antivirus 商业
版),请单击设置... 按钮。
. 代理服务器设置
如果安装了 ESET NOD Antivirus 的系统使用代理服务器进行 Internet
连接,则必须在高级设置 (F) 中指定代理服务器的设置。要访问代理服务
器配置窗口,请从高级设置树中单击其它 > 代理服务器。选择使用代理服
务器复选框,输入代理服务器的 IP 地址和端口及其验证数据。
如果此信息不可用,可以尝试通过单击检测代理服务器按钮来自动检测
ESET NOD Antivirus 的代理服务器设置。
注意:对于不同的更新配置文件,代理服务器选项可能也有所不同。如果
出现这种情况,请在高级更新设置中配置代理服务器。

. 访问保护
从组织的安全策略角度看,ESET NOD Antivirus 设置非常重要。未经
授权的更改可能会破坏系统的稳定和防护。要对设置参数进行密码保护,
请从主菜单启动,单击设置 > 进入完整高级设置树...> 用户界面 > 访问
保护并单击输入密码...按钮。
输入密码,再次输入进行确认,然后单击 确定。以后若要更改任何 ESET
NOD Antivirus 设置都需要使用此密码。

. 使用 ESET NOD Antivirus
. 病毒和间谍软件防护
病毒防护通过控制文件、电子邮件和 Internet 通信防范恶意系统攻击。如
果检测到带有恶意代码的威胁,则病毒防护模块可以通过先阻止,然后清
除、删除或将其移至隔离区,来消除威胁。
.. 实时文件系统防护
文件系统实时防护控制系统中所有与病毒防护相关的事件。在计算机上打
开、创建或运行任何文件时,都将扫描该文件是否带有恶意代码。文件系
统实时防护在系统启动时启动。
... 控制设置
文件系统实时防护检查所有类型的介质,控制由各种事件触发。控制使用
ThreatSense 技术检测方法(如 ThreatSense 引擎参数设置中所述)。对
于新创建的文件和现有文件,控制行为可能不同。对于新创建的文件,可
以应用更深的控制级别。
.... 要扫描的对象
默认情况下,对所有类型介质进行扫描以查找潜在的威胁。
本地驱动器 – 控制所有系统硬盘驱动器
可移动介质 – 软盘、USB 存储设备等
网络驱动器 – 扫描所有映射的驱动器
建议您保留默认设置,仅在特殊情况下修改这些设置,例如扫描某些介质
使数据传输速度显著降低时。
.... 运行扫描于(事件触发式扫描)
默认情况下,所有文件在打开、执行或创建时进行扫描。我们建议您保留
默认设置,默认设置可为计算机提供最高级别的实时防护。
软盘访问选项提供访问软盘驱动器时对软盘引导区的控制。计算机关机选项
提供计算机关机时对硬盘引导区的控制。尽管当今引导病毒很少见,但还是
建议您启用这些选项,因为其它来源的引导病毒仍可能造成系统感染。
.... 用于新建文件和已修改文件的其它 ThreatSense 参数
与现有文件相比,新创建文件感染的可能性相对较高。这就是程序以附加
扫描参数检查这些文件的原因。将基于签名的常见扫描方法与高级启发式
扫描一同使用可极大地提高检测率。除了新创建的文件,扫描对象还包括
自解压文件 (SFX) 和加壳程序(内部压缩的可执行文件)。默认情况下,对
压缩文件的扫描可深达第 个嵌套层,而且不论其实际大小,都会进行检
查。取消选中默认的压缩文件扫描设置选项可修改压缩文件扫描设置。
.... 高级设置
为了在运行实时防护时占用最小的系统资源,不会再次扫描已经扫描过的文
件(除非被修改)。每次病毒库更新后立刻再次扫描文件。使用优化扫描
选项配置此操作。如果禁用,则在每次访问文件时扫描所有文件。
实时防护默认在操作系统启动时启动,以便提供不间断的扫描。特殊情况
下(比如与其它实时扫描程序存在冲突),可以通过禁用自动启动文件系
统实时防护选项来中止实时防护。
默认情况下,在执行文件后不采用高级启发式扫描。但是,在某些情况
下,您可能希望启用此选项(通过选中执行文件时采用高级启发式扫描选
项)。注意:高级启发式扫描可能会因不断增加的系统需求而使执行某些
程序的速度变慢。
... 清除级别
实时防护提供三个清除级别(若要访问,请单击文件系统实时防护部分中
的设置...按钮,然后单击处理威胁分支)。
•
•
•
第一个级别只显示一个警报窗口,其中有对发现的每个渗透均可用的选
项。用户必须针对每个渗透选择一个操作。此级别是为更高级的用户设
计的,他们了解处理各种渗透的方法。
中等级别会自动选择并执行预定义的操作(根据渗透类型而定)。屏幕
右下角的信息消息指示检测到或删除了被感染文件。不过,如果渗透位
于含有干净文件的压缩文件中,程序将不执行自动操作,并且也不在无
预定义操作的对象上执行自动操作。
第三个级别 “严格清除”– 清除所有被感染的对象。由于此级别可能导
致丢失有效文件,建议您仅在特定情况下使用。

... 何时修改实时防护配置
实时防护是维护系统安全的最重要的组件。因此,修改其参数时请务必小
心。建议您仅在特定情况下修改其参数。例如,与某个应用程序或另一个
病毒防护程序的实时扫描程序发生冲突时。
安装 ESET NOD Antivirus 后,所有设置都会得到优化以便为用户提供最
高级别的系统安全性。要恢复默认设置,请在文件系统实时防护窗口(高级
设置 > 病毒和间谍软件防护 > 文件系统实时防护)的右下方单击默认按钮。
... 检查实时防护
要验证实时防保护是否工作,是否在检测病毒,请使用测试文件 eicar.com。
此文件是一个可供所有病毒防护程序检测的特殊无害文件。此文件由 EICAR
(欧洲计算机防病毒研究协会)创建,用于测试病毒防护程序的功能。可从
http://www.eicar.org/download/eicar.com 下载文件 eicar.com
... 如果实时防护不工作怎么办
在下一章中,我们将介绍使用实时防护时可能出现的问题场景,以及如何
排除这些故障。
实时防护被禁用
如果用户无意中禁用了实时防护,则需要重新启用它。要重新启动实时防
护,请浏览至设置 > 病毒和间谍软件防护并在主程序窗口的文件系统实时
防护部分单击启用。
如果实时防护未能在系统启动时启动,可能是因为自动启动文件系统实时防
护选项被禁用。要启用此选项,请浏览至高级设置 (F),然后单击高级设置
树中的文件系统实时防护。在窗口底部的高级设置部分中,确保自动启动文
件系统实时防护复选框已被选中。
实时防护不检测和清除渗透
请确保您的计算机上没有安装其它病毒防护程序。如果同时启用两个实时防
护盾牌,它们可能互相冲突。建议您卸载系统上的任何其它病毒防护程序。
实时防护不启动
如果系统启动时实时防护未启动(且选项自动启动 – 文件系统实时防护已经
启用),可能是因为与其它程序发生冲突。如果是这种情况,请咨询 ESET
的客户服务专家。
.. 电子邮件客户端防护
电子邮件保护可控制通过 POP 协议接收的电子邮件通信。通过使用
Microsoft Outlook 的插件程序,ESET NOD Antivirus 可控制电子邮件
客户端的所有通信(POP、MAPI、IMAP、HTTP)。检查传入邮件时,
程序使用 ThreatSense 扫描引擎提供的所有高级扫描方法。这意味着恶意
程序检测在与病毒库匹配之前就已进行。对 POP 协议通信的扫描与使用
何种电子邮件客户端无关。
... POP 检查
POP 协议是使用最广泛的在电子邮件客户端应用程序中接收电子邮件通信
的协议。无论使用何种电子邮件客户端,ESET NOD Antivirus 均提供对
此协议的保护。
操作系统启动时会自动启动提供此控件的模块,之后该模块会在内存中处
于活动状态。要使模块正常工作,请确保启用它 – POP 检查会自动执行,
无需重新配置电子邮件客户端。默认情况下,程序会扫描端口 上的所有
通信,如有必要,也可以添加其它通信端口。端口号必须使用逗号分隔。
加密通信无法控制。

.... 兼容性
某些电子邮件程序使用 POP 过滤时可能遇到问题(例如,如果 Internet
连接速度较慢,接收邮件可能会因检查超时失败)。如果出现这种情况,
请尝试修改执行控制的方式。降低控制级别可能提高清除过程的速度。
要调整 POP 过滤的控制级别,请浏览至病毒和间谍软件防护 > 电子邮件
保护 > POP > 兼容性。
如果启用了最高效率,程序将从被感染邮件中删除渗透,并在原来的电子邮
件主题前插入关于渗透的信息(必须启动删除或清除选项,或者必须启用
严格或默认清除级别)
中等兼容性可修改邮件接收方式。邮件会逐步发送到电子邮件客户端 – 邮
件的最后部分传输完毕后,程序将扫描邮件看是否存在渗透。不过,使用
此控制级别会增加感染风险。清除级别和标记消息的处理(附加到邮件主
题行和正文的通知警报)与最高效率设置完全相同。
使用最大兼容性级别时,将出现一个警报窗口,警告用户收到了被感染的
邮件。被感染文件的信息不会添加到已发送邮件的主题行或邮件正文,程
序不会自动删除渗透。删除渗透必须由用户从电子邮件客户端执行。
... 电子邮件客户端集成
ESET NOD Antivirus 与电子邮件客户端的集成可提高针对电子邮件中恶
意代码的主动保护级别。如果程序支持您的电子邮件客户端,可在 ESET
NOD Antivirus 中启用此集成。如果启动集成,ESET NOD Antivirus
工具栏将直接插入电子邮件客户端,从而更有效地保护电子邮件通信。通
过设置 > 进入完整高级设置树… > 其它 > 电子邮件客户端集成可以访问集
成设置。通过此对话窗口可启动与受支持电子邮件客户端的集成。目前支
持的电子邮件客户端包括 Microsoft Outlook、Outlook Express、
Windows Mail、Windows Live Mail 和 Mozilla Thunderbird。
如果使用电子邮件客户端时遇到系统运行缓慢的情况,请选中禁用对收件
箱内容更改的检查选项。当从 Kerio Outlook Connector Store 中下载电子
邮件时可能会发生这种情况。
通过选中高级设置 (F) > 病毒和间谍软件防护 > 电子邮件保护中的启动电
子邮件保护复选框,启动电子邮件保护。
.... 将标记消息附加到邮件正文
通过将标记消息附加到主题或邮件正文,可以标记 ESET NOD Antivirus
控制的所有电子邮件。此功能可提高地址的可信性,如果检测到渗透,还
可提供关于给定电子邮件/发件人威胁级别的有价值信息。
通过高级设置 > 病毒和间谍软件防护 > 电子邮件客户端防护可以访问此功
能的选项。程序既能在已接收并阅读的电子邮件上添加标记消息,也可以
在已发送的电子邮件上添加标记消息。用户还可以决定将标记消息附加到
所有电子邮件还是只附加到被感染的邮件,或不附加到任何电子邮件。
ESET NOD Antivirus 还允许用户将消息附加到被感染邮件的原始主题。
要启用附加到主题,请使用在已接收并阅读的被感染电子邮件主题中添加
注释和在已发送的被感染电子邮件的主题中添加注释选项。
通知的内容可在“模板”字段中修改,并且可添加到被感染电子邮件的主题
中。上述修改有助于自动化被感染电子邮件的过滤过程,因为它允许将带特
定主题的电子邮件过滤到单独的文件夹(如果电子邮件客户端支持的话)。

... 删除渗透
如果收到被感染的电子邮件,将显示警报窗口。警报窗口显示发件人姓
名、电子邮件以及渗透名称。窗口下半部分有对被检测对象可用的清除、
删除或离开选项。我们建议您在几乎所有情况下,均选择清除或删除。如
果出现特殊情况,例如希望接收被感染文件,请选择离开。如果启用严格
清除,将显示一个信息窗口,其中没有对被感染对象可用的选项。
.. Web 访问保护
Internet 连接是个人计算机的一项标准功能。不幸的是,这项功能也因此成
为传输恶意代码的主要媒介。鉴于此,谨慎考虑 Web 访问保护的相关事项
十分必要。我们强烈建议您选中启用 Web 访问保护选项。此选项位于高级
设置 (F) > 病毒和间谍软件防护 > Web 访问保护中。
... HTTP、 HTTPS
Web 访问保护的功能是监视 Internet 浏览器和远程服务器之间的通信,并
遵从 HTTP(超文本传输协议)和 HTTPs(加密通信)规则。默认情况下,
ESET NOD Antivirus 配置为使用大多数 Internet 浏览器的标准。不过,
也可以在 Web 访问保护 > HTTP, HTTPs 中修改 HTTP 扫描程序设置选项。
在主 HTTP 过滤器窗口中,您可以选择或取消选择启用 HTTP 检查选项。
您还可以定义 HTTP 通信所使用的端口号。默认情况下,预定义端口号为
、 和 。HTTPs 检查可以在下列模式下执行:
不使用 HTTPs 协议检查
不检查加密通信
对选定端口使用 HTTPs 协议检查
HTTPs 检查仅适用于 HTTPS 协议使用的端口
对标记为使用选定端口的 Internet 浏览器的应用程序使用 HTTPs 协议检查
只检查在浏览器一节中指定的应用程序及使用 HTTPs 协议使用的端口中定
义的端口的应用程序。
.... 地址管理
此部分可使您指定要对其阻止、允许或排除检查的 HTTP 地址。
添加、更改、删除和导出按钮可用于管理地址列表。将无法访问阻止地址
列表中的网站。无需扫描恶意代码即可访问排除地址列表中的网站。如果
您启用仅允许访问许可地址列表中的 HTTP 地址,则仅可以访问出现在允
许地址列表中的地址,同时会阻止所有其他 HTTP 地址。
在所有列表中,均可使用特殊符号 *(星号)和 ?(问号)。星号代替任何
字符串,问号代替任何符号。指定被排除的地址时尤其要小心,因为列表
应只包含受信任的安全地址。与之类似,必须确保在此列表中正确使用符
号 * 和 ?。要启动某个列表,请选中列表活动选项。如果要在输入当前列表
中的地址时获取系统通知,请选择当应用列表中的地址时发送通知。

.... Web 浏览器
ESET NOD Antivirus 还包含 Web 浏览器功能,允许用户定义给定应用
程序是否为浏览器。如果用户将应用程序标记为浏览器,则此应用程序的
所有通信都将被监视,无论通信涉及的端口号为多少。
Web 浏览器功能可作为 HTTP 检查功能的补充,因为 HTTP 检查仅在预定
义端口上进行。但许多 Internet 服务会使用动态变化的或未知的端口号。
为解决此问题,Web 浏览器功能可建立对端口通信的控制,无论连接参数
如何。
标记为浏览器的应用程序的列表可直接从 HTTP 分支的 Web 浏览器 子菜单
中访问。此部分还包含定义 Internet 浏览器检查模式的活动模式子菜单。
活动模式的有用之处在于它将传输的数据作为整体进行检查。如果未启用,
则逐步按批监视应用程序的通信。这样会降低数据验证效率,但也为列出的
应用程序提供了更高的兼容性。如果使用时未出现问题,建议您选中所需应
用程序旁边的复选框来启用活动检查模式。
.. 计算机扫描
如果您怀疑计算机受到感染(行为不正常),请运行手动计算机扫描以检查
计算机是否存在渗透。从安全角度说,计算机扫描不应仅在怀疑有渗透时运
行,而是应作为日常安全手段的一部分定期运行,这一点非常重要。定期扫
描能够检测到在保存到磁盘时未被实时扫描程序发现的渗透。如果系统被感
染时实时扫描程序已被禁用,或者病毒库过期,就会出现这种情况。
我们建议您每月至少运行一次或两次手动扫描。在工具 > 计划任务下可以将
扫描配置为计划任务。
... 扫描类型
扫描有两种类型。智能扫描快速扫描系统,无需进一步配置扫描参数。自定
义扫描… 允许用户选择任意预定义的扫描配置文件,并从树结构中选择扫描
对象。
.... 智能扫描
智能扫描是一种用户友好的方法,允许用户快速启动计算机扫描并清除被
感染文件,无需用户干预。其主要优势在于操作方便,没有复杂的扫描配
置。智能扫描检查本地驱动器上的所有文件并自动清除或删除检测到的渗
透。清除级别被自动设置为默认值。有关清除类型的更多详细信息,请参
见“清除”(见第 页)。
智能扫描配置文件专为希望快速轻松扫描计算机的用户设计。它提供有效的
扫描和清除解决方案,无需进行繁琐地配置。
.... 自定义扫描
如果您要指定扫描参数(如扫描目标和扫描方法等),自定义扫描是一个理
想的解决方案。自定义扫描的优点在于可以详细配置参数。配置可以保存到
用户定义的扫描配置文件中,这在使用相同的参数重复扫描时非常有用。
要选择扫描目标,请使用快速目标选择功能的下拉菜单,或从列有计算机上
所有可用设备的树结构中选择目标。此外,还可以通过单击设置... > 清除从
三个清除级别中选择。如果仅希望程序扫描系统而不执行任何其它操作,请
选择扫描但不清除复选框。
使用自定义扫描模式执行计算机扫描适合有病毒防护程序使用经验的高级
用户。

... 扫描目标
“扫描目标”下拉菜单允许您选择要进行病毒扫描的文件、文件夹和设备
(软盘)。
使用快速扫描目标菜单选项,可以选择以下目标:
按照配置文件的设置– 控制在选定的扫描配置文件中设置的目标
可移动介质 – 软盘、USB 存储设备、CD/DVD
本地驱动器 – 控制所有系统硬盘驱动器
网络驱动器 – 所有映射的驱动器
不选择 – 取消所有选择
也可以通过输入要扫描的文件或文件夹路径,更精确地指定扫描目标。从
列有计算机上所有可用设备的树结构中选择目标。
... 扫描配置文件
可将首选计算机扫描参数保存到配置文件。创建扫描配置文件的优点在于
可在将来使用配置文件定期扫描。建议您按照用户定期使用的配置文件数
创建配置文件(带有各种扫描目标、扫描方法和其它参数)。
要创建可供未来扫描重复使用的新配置文件,请浏览至高级设置 (F) > 手动
计算机扫描。单击右侧的配置文件...按钮,可显示现有扫描配置文件列表
和用于创建新配置文件的选项。以下的 ThreatSense 引擎参数设置介绍了
扫描设置的各个参数。这有助于创建符合需要的扫描配置文件。
例如:
假设您要创建自己的扫描配置文件,分配给配置文件智能扫描的配置仅部
分适用。但您不希望扫描加壳程序或潜在不安全的应用程序,并且还希望
应用严格清除。在设置配置文件窗口中,单击添加... 按钮。在配置文件名
称字段中输入新配置文件的名称,然后在从配置文件中复制设置:下拉菜
单中选择智能扫描。然后调整其余参数以满足您的需要。
.. 协议过滤
POP 和 HTTP 应用程序协议的病毒防护由 ThreatSense 扫描引擎提供,后
者无缝集成了所有高级恶意软件扫描技术。无论使用哪种 Internet 浏览
器或电子邮件客户端,该控件都会自动工作。有下列选项可用于协议过滤
(如果已选中启用应用程序协议内容过滤选项:
HTTP 和 POP 端口 – 限制对已知 HTTP 和 POP 端口的通信扫描。
标记为 Internet 浏览器和电子邮件客户端的应用程序 – 启用该选项可只过
滤标记为浏览器(Web 访问保护 > HTTP, HTTPS > Web 浏览器)和电子邮
件客户端(电子邮件客户端防护 > POP, POPS > 电子邮件客户端)的应
用程序的通信
标记为 Internet 浏览器或电子邮件客户端的端口和应用程序 – 对端口和浏
览器均进行恶意软件检查
注意:
启动 Windows Vista Service Pack 和 Windows Server 时,使用新
的通信过滤。因此,协议过滤部分不可用。
... SSL
ESET NOD Antivirus 使您可以检查 SSL 封装的协议。您可以对使用受
信任证书、未知证书或不进行 SSL 受保护通信检查的证书的 SSL 受保护通
信使用各种扫描模式。
总是扫描 SSL 协议(排除和信任的证书将仍然有效)– 选择此选项可扫描
所有 SSL 保护的通信,受排除检查证书保护的通信除外。如果建立了使用
未知、已签名证书的新通信,程序将不会通知用户此情况,而是自动过滤
该通信。用户访问具有不信任的证书但用户将其标记为受信任(被添加到
受信任证书列表)的服务器时,程序将允许到该服务器的通信并过滤通信
通道的内容。
询问未访问过的站点(未知证书)– 如果您输入新 SLL 保护的站点(具有未
知证书),则程序显示操作选择对话框。在这种模式下,您可以创建将不
进行扫描的 SSL 证书。
不扫描 SSL 协议 – 如果选中,程序将不扫描 SSL 通信。
如果使用受信任的根证书颁发机构无法验证该证书
询问证书的有效性 – 提示用户选择要采取的操作
阻止使用该证书的通信 – 终止连接到使用该证书的站点
该证书无效或者已损坏时
询问证书的有效性 – 提示用户选择要采取的操作
阻止使用该证书的通信 – 终止连接到使用该证书的站点

.... 受信任证书
除集成的受信任根证书颁发机构(即 ESET NOD Antivirus 存储受信任
证书的位置)外,您可以创建受信作证书的自定义列表,该列表可以在设
置 (F) > 协议过滤 > SSL > 受信任证书中查看。
.... 排除的证书
排除的证书部分包含被认为安全的证书。该程序不会检查使用此列表中证
书的加密通信的内容。我们建议只安装保证安全的 Web 证书,而且不需要
内容过滤。
.. ThreatSense 引擎参数设置
ThreatSense 是一项技术名称,它包含复杂的威胁检测方法。此技术具有某
种主动性防护功能,也就是说,它可在新威胁开始传播的较早阶段提供防
护。该技术采用了多种方法(代码分析、代码仿真、一般的识别码、病毒
库等),可显著提高系统安全性。扫描引擎可同时控制多个数据流,最大
限度地提高效率和检测速度。ThreatSense 还能够成功清除 Rootkit。
用户可使用 ThreatSense 技术设置选项指定若干扫描参数:
•
•
•
要扫描的文件类型和扩展名
不同检测方法的组合
清除级别等。
要进入设置窗口,请在使用 ThreatSense 技术的任一模块的设置窗口中单击
设置… 按钮(见下文)。不同的安全情形可能要求不同的配置。请记住,
ThreatSense 可针对下列保护模块进行单独配置:
•
•
•
•
•
实时文件系统防护
系统启动文件检查
电子邮件保护
Web 访问保护
手动计算机扫描
ThreatSense 参数已针对每个模块进行了高度优化,对其进行修改可能会
明显影响系统操作。例如,将参数更改为始终扫描加壳程序,或在文件系统
实时防护模块中启用高级启发式扫描,可能会造成系统性能下降(通常,只
有在扫描新建文件时才使用这些方法)。因此,建议您保留所有模块(“计
算机扫描”除外)的默认 ThreatSense 参数。
... 对象设置
对象部分允许您定义将扫描渗透的计算机组件和文件。
工作内存 – 扫描攻击系统工作内存的威胁。
引导区 – 扫描引导区,看主引导记录中是否有病毒
文件 – 提供扫描所有常见文件类型(程序、图片、音频、视频文件、数据
库文件等)
电子邮件文件 – 扫描包含电子邮件的特殊文件
压缩文件 – 提供扫描压缩文件中压缩的文件(.rar、.zip、.arj、.tar 等)
自解压文件 – 扫描自解压文件中包含的文件(通常带有 .exe 扩展名)
加壳程序 – 除了标准静态加壳程序(UPX、yoda、ASPack、FGS 等),还
有在内存中解压的加壳程序(和标准压缩类型不同)。
... 选项
在选项部分中,用户可以选择扫描系统查找渗透时使用的方法。有下列选项
可用:

病毒库 – 使用病毒库可按名称精确可靠地检测和识别渗透。
启发式扫描 – 启发式扫描是一种分析程序(恶意)行为的算法。启发式检
测的主要优点是能够检测到以前不存在或已知病毒列表(病毒库)中没有
的新恶意软件。
高级启发式扫描 – 高级启发式扫描具有一种独特的启发式扫描算法,该算法
由 ESET 开发,它使用高级编程语言编写而成,用于优化检测计算机蠕虫和
木马病毒。由于有了高级启发式扫描,程序的检测智能显著提高。
广告软件/间谍软件/危险软件 – 此类软件包括在未经用户同意的情况下收集
各种用户敏感信息的软件。此外还包括显示广告材料的软件。
潜在的不安全应用程序 – 潜在的不安全应用程序是指用于商业目的的合法
软件。它包括远程访问工具这样的程序,这就是默认禁用此选项的原因。
潜在不受欢迎的应用程序 – 潜在不受欢迎的应用程序未必是恶意的,但它会
对计算机性能产生负面影响。此类应用程序通常在安装前提请用户同意。
如果计算机上安装了这类程序,系统运行(与安装前相比)会有所不同。
最显著的变化包括会出现不受欢迎的弹出窗口、启动和运行隐藏进程、系
统资源消耗增加、更改搜索结果以及应用程序与远程服务器通信。
... 清除
清除设置决定清除被感染文件过程中扫描程序的行为。共有 个清除级别:
不清除
被感染文件不会被自动清除。程序会显示一个警告窗口,允许用户选择操作。
默认级别
程序将尝试自动清除或删除被感染文件。如果无法自动选择正确操作,程
序将提供一组后续操作供选择。如果无法完成预定义的动作,也将显示后
续操作选择。
严格清除
程序将清除或删除所有被感染文件(包括压缩文件)。唯一例外的是系统
文件。如果无法清除文件,将弹出一个警告窗口,其中为用户提供了操作
选项。
警告:
在默认模式下,仅当压缩文件中的所有文件都被感染时,才会删除整个压
缩文件。如果压缩文件中包含合法文件,则不删除。如果在严格清除模式
下检测到被感染的压缩文件,即使其中包含干净的文件,也会删除整个压
缩文件。
... 扩展名
扩展名是用句点分隔的文件名的一部分。扩展名定义文件的类型和内容。
ThreatSense 参数设置的此部分允许您定义要扫描的文件类型。
默认情况下程序扫描所有文件,无论其扩展名是什么。不扫描的文件的列
表中可添加任何扩展名。如果取消选中扫描所有文件选项,则列表改为显
示所有当前已扫描文件的扩展名。通过使用添加和删除按钮,可以启用或
禁用对所需扩展名的扫描。
要启用对无扩展名文件的扫描,请选中扫描无扩展名的文件选项。
如果对某些文件类型的扫描导致使用该扩展名的程序工作不正常,将这些
文件排除出扫描之列即可解决问题。例如,使用 MS Exchange 服务器时,
建议排除 .edb、.eml 和 .tmp 扩展名。
... 限制
限制部分允许您指定要扫描的对象的最大大小和嵌套压缩文件的层数:
最大对象大小(字节)
定义要扫描对象的最大大小。给定的病毒防护模块则仅扫描小于指定大小
的对象。不建议更改默认值,因为通常没必要对其进行修改。此选项应仅
由具有从扫描中排除大型对象的特定原因的高级用户更改。
对象的最长扫描时间(秒)
定义扫描对象的最长扫描时间值。如果在此输入用户定义的值,时间用完
后,不论扫描是否已完成,病毒防护模块都将停止扫描对象。
压缩文件嵌套层数
指定压缩文件扫描的最大深度。不建议更改默认值 ,通常没必要对其进行
修改。如果扫描因嵌套压缩文件的数量而提前中断,则压缩文件仍将处于
未选中状态。
压缩文件中文件的最大大小(字节)
此选项允许您指定要扫描的压缩文件(当解压缩时)中所包含文件的最大
文件大小。如果因此而提前中断扫描压缩文件,则压缩文件仍将处于未选
中状态。
... 其它
扫描交换数据流 (ADS)
NTFS 文件系统使用的交换数据流 (ADS) 是对普通扫描技术不可见的文件和
文件夹关联。许多渗透试图通过伪装成交换数据流来避开检测。
以低优先级运行后台扫描
每次扫描序列消耗一定量的系统资源。如果您使用高系统资源负载的程序,
可以启动低优先级后台扫描,为应用程序节约资源。
记录所有对象
如果选中此选项,日志文件将显示包括未感染文件在内的所有已扫描文件。
保存上一个访问时戳
选中此选项可以保留已扫描文件的最初访问时间而不是更新时间(例如数
据备份系统所使用的访问时戳)。
滚动日志
此选项允许您启用/禁用日志滚动。如果选中,信息将在显示窗口中向上
滚动。

在单独窗口中显示扫描完成通知
打开一个独立窗口,其中包含关于扫描结果的信息。
.. 检测到渗透
渗透可通过各种渠道进入系统:网页、共享文件夹、电子邮件或可移动计
算机设备(USB、外部磁盘、CD、DVD、软盘等)。
如果您的计算机有被恶意软件感染的迹象,例如速度下降、常常停止响应
等,建议您执行以下操作:
• 启动 ESET NOD Antivirus 并单击 计算机扫描
• 单击 智能扫描
(更多信息,请参见“智能扫描”)。
•
扫描完成后,查看日志中已扫描文件、被感染文件和已清除文件的数量。
如果您只希望扫描磁盘的某一部分,请单击自定义扫描,然后选择扫描目标。
以下为 ESET NOD Antivirus 处理渗透的一般示例,假设使用默认清除级
别的实时文件系统监视程序检测到了渗透。它将尝试清除或删除该文件。
如果实时保护模块没有可采取的预定义操作,程序将显示一个警报窗口,
要求您从中选择一个选项。一般会有清除、删除和离开等选项。建议您不
要选择离开,因为这样将不对被感染文件采取任何操作。除非您确信该文
件无害,只是检测失误所致。
清除和删除
如果干净文件遭到了病毒攻击(该病毒在被清除文件上附加了恶意代码),
请应用清除。如果是这种情况,请首先尝试清除被感染文件,使其恢复到初
始状态。如果文件全部由恶意代码组成,将删除该文件。
如果被感染文件被“锁定”或正在被系统进程使用,通常只在释放后(通
常是系统重新启动后)删除。
删除压缩文件中的文件
在默认清除模式下,仅当压缩文件只包含被感染文件而没有干净文件时,才
会删除整个压缩文件。换句话说,如果还包含无害的干净文件,就不会删除
压缩文件。但是,执行严格清除扫描时请小心 – 使用严格清除时,即使压缩
文件只包含一个被感染文件,无论压缩文件中其它文件的状态如何,都将删
除该压缩文件。
. 更新程序
定期更新系统是获得 ESET NOD Antivirus 所提供的最高安全级别的基本
前提。更新模块确保程序始终是最新的。这可以通过两种方式完成 – 通过
更新病毒库和更新所有系统组件。
单击更新可查看当前更新状态信息,包括当前的病毒库版本以及是否需要
更新。此外,还提供用于立刻启用更新过程的选项 – 更新病毒库 –,以及基
本更新设置选项,例如用于访问 ESET 更新服务器的用户名和密码。
信息窗口还包含详细信息,例如上次成功更新的日期和时间以及病毒库的
编号。此数值指示是指向 ESET 网站的活动链接,其中列有给定更新中添加
的所有签名。
使用注册链接可打开注册表,该注册表显示您的新许可证已在 ESET 注册,
之后验证数据将会发送到您的邮箱。
注意: 购买 ESET NOD Antivirus 后,ESET 会提供用户名和密码。
.. 更新设置
更新设置部分指定更新源信息,例如更新服务器和这些服务器的验证数据。
默认情况下,更新服务器: 字段被设置为自动选择。此值确保以最低的网络
通信负载从 ESET 服务器自动下载更新文件。更新设置选项可从更新下的高
级设置 (F) 选项访问。

当前现有更新服务器列表可通过更新服务器:下拉菜单访问。若要添加新更
新服务器,请单击更新选定配置文件的设置部分中的编辑...,然后单击添
加按钮。
对更新服务器的验证由用户名和密码授权,购买产品许可证后,ESET 生成
用户名和密码并发送给用户。
... 更新配置文件
对于各种更新配置,可以创建用户定义的更新配置文件,用于给定更新任
务。创建各种更新配置文件对于移动用户尤为有用,因为 Internet 连接属
性经常更改。通过修改更新任务,移动用户可以指定如果不能使用我的配
置文件中指定的配置来更新程序,则将使用备用配置文件执行更新。
选定的配置文件下拉菜单显示当前选定的配置文件。默认情况下,此条目
设置为我的配置文件。要创建新配置文件,请单击配置文件... 按钮,然后
单击添加... 按钮并输入您自己的配置文件名称。创建新配置文件时,可以
从现有配置文件复制设置,方法是在从以下配置文件中复制设置:下拉菜
单中选择一个。
在配置文件设置中,可以指定程序将连接并下载更新的更新服务器;可以
使用可用服务器列表中的任何服务器,也可以添加新服务器。现有更新服
务器列表可通过更新服务器:下拉菜单访问。要添加新的更新服务器,请
单击更新选定配置文件的设置部分中的编辑…,然后单击添加按钮。
... 高级更新设置
要查看高级更新设置,请单击设置... 按钮。高级更新设置选项包括配置更新
模式、HTTP 代理、LAN 和镜像。
.... 更新模式
更新模式选项卡包含关于程序组件更新的选项。
在程序组件更新部分中,提供以下三个选项:
•
•
•
从不更新程序组件
总是更新程序组件
下载程序组件前询问
选择从不更新程序组件选项可确保在 ESET 发布新程序组件更新后系统不下
载它,并且给定工作站上将不实际进行程序组件更新。总是更新程序组件
选项意味着 ESET 的更新服务器上每次提供新更新时,都将执行程序组件更
新,并且程序组件将升级到下载的版本。
选择第三个选项下载程序组件前询问,可以确保此类更新可用时程序将要
求用户确认下载程序组件更新。在此情况下,将显示一个包含可用程序组
件更新相关信息的对话窗口,并带有确认或拒绝更新的选项。如果确认,
将下载更新,然后安装新程序组件。
程序组件更新的默认选项为下载程序组件前询问。
安装程序组件更新后,必须重新启动系统才能提供所有模块的全部功能。
程序组件升级后重新启动部分允许您从以下三个选项中选择一个:
•
•
•
从不重新启动计算机
需要时重新启动计算机
需要时不通知即重新启动计算机
重新启动的默认选项为需要时重新启动计算机。更新模式选项卡中最合适
的程序组件更新选项因每个工作站而不同,因为工作站是应用这些设置的
地方。请注意工作站和服务器之间存在差异,例如程序升级后自动重新启
动服务器可能会造成严重损害。

.... 代理服务器
要访问给定更新配置文件的代理服务器设置选项:请单击高级设置树 (F)
中的更新,然后单击高级更新设置右侧的设置... 按钮。单击 HTTP 代理选
项卡,从以下三个选项中选择一个:
•
•
使用全局代理服务器设置
不使用代理服务器
• 通过代理服务器连接 (连接属性定义的连接)
选择使用全局代理服务器设置选项将使用高级设置树的其它 > 代理服务器分
支中指定的代理服务器配置选项。
选择不使用代理服务器选项将明确定义不使用代理服务器更新 ESET
NOD Antivirus。
如果使用与在全局设置(其它 > 代理服务器)中指定的代理服务器不同的代
理服务器来更新 ESET NOD Antivirus,则应选择通过代理服务器连接选
项。如果是这种情况,应在此处指定设置:代理服务器地址、通信端口,以
及代理服务器的用户名和密码(如果需要)。
如果没有全局设置代理服务器,但 ESET NOD Antivirus 将通过代理服务
器连接进行更新,也应选择此选项。
代理服务器的默认设置为使用全局代理服务器设置。
.... 连接到 LAN
从运行 NT 操作系统的本地服务器更新时,默认需要对每个网络连接进行验
证。在大部分情况下,本地系统帐户对于镜像文件夹(镜像文件夹包含更
新文件的副本)没有足够访问权。如果是这种情况,请在更新设置部分
中输入用户名和密码,或指定程序将在哪个现有帐户下进入更新服务器
(镜像)。
若要配置此类帐户,请单击 LAN 选项卡。用以下身份连接到 LAN 部分提
供了系统帐户(默认)、当前用户和指定用户选项。
选择系统帐户选项,使用系统帐户进行验证。通常,如果主更新设置部分不
提供验证数据,则将不会进行验证。
若要确保程序使用当前登录的用户帐户自行授权,请选择当前用户。此解
决方案的缺点在于,如果当前没有用户登录,则程序将无法连接到更新服
务器。
如果希望程序使用特定用户帐户进行验证,请选择指定用户。
LAN 连接的默认选项为系统帐户。
警告:
启用当前用户或指定用户时,如果将程序身份更改为所需用户,可能发生错
误。这就是我们建议在主更新设置部分中插入 LAN 验证数据的原因。在此更
新设置部分中,应按如下所示输入验证数据:domain_name\user(如果是
工作组,请输入 workgroup_name\name)以及用户密码。从 HTTP 版本的
本地服务器更新时,无需验证。

.... 创建更新副本 – 镜像
ESET NOD Antivirus 商业版允许用户创建更新文件的副本,这些副本可
用于更新网络中的其它工作站。从镜像更新客户端工作站可优化网络负载
平衡,并节约 Internet 连接带宽。
(在位于 ESET NOD Antivirus 商务版高级设置部分的许可证管理器中添
加有效许可证密钥后)本地服务器镜像的配置选项可在高级更新设置:部
分访问(若要访问此部分,请按 F 并单击高级设置树中的更新。单击高级
更新设置:旁的设置...按钮然后选择镜像选项卡)。
配置镜像的第一步是选中创建更新镜像复选框。选择此选项将启用其它镜
像配置选项,例如访问更新文件的方式和镜像文件的更新路径。
下一章“访问镜像的不同方式”中将详细介绍启用镜像的方法。请注意,
目前有两种访问镜像的基本方法 – 具有更新文件的文件夹可以表示为共享
网络文件夹的镜像,或 HTTP 服务器的镜像。
用于为镜像存储更新文件的文件夹在保存镜像文件的文件夹部分中定义。单
击文件夹... 浏览本地计算机上的所需文件夹或共享网络文件夹。如果需要
对指定文件夹的授权,则必须在用户名和密码字段中提供验证数据。用户名
和密码应按照域/用户或工作组/用户的格式输入。请记住提供相应密码。
指定详细镜像配置时,您还可为下载更新副本指定语言版本。语言版本设
置可在文件 – 可用版本: 部分中访问。
..... 从镜像更新
有两种配置镜像的基本方法 – 具有更新文件的文件夹可作为共享网络文件
夹的镜像,或 HTTP 服务器的镜像。
使用内部 HTTP 服务器访问镜像
此配置为默认设置,它在预定义程序配置中指定。为允许使用 HTTP 服务
器访问镜像,请浏览至高级更新设置(镜像选项卡),然后选择创建更新
镜像选项。
在镜像选项卡的高级设置部分,可以指定 HTTP 服务器将侦听的服务器端
口,以及 HTTP 服务器使用的验证类型。默认情况下,服务器端口设置为
。验证选项定义了访问更新文件的验证方法。有下列选项可用:无、
基本、和 NTLM。选择基本以使用 base 编码进行基本用户名和密码验
证。NTLM 选项提供使用安全编码方法的编码。对于验证,使用在共享更
新文件的工作站上创建的用户。默认设置为无,此设置授予对更新文件的
访问权,无需验证。
警告:
如果您希望允许通过 HTTP 服务器访问更新文件,镜像文件夹必须和创建它
的 ESET NOD Antivirus 例程位于同一计算机上。
配置完镜像后,请转至工作站并以 http://IP_address_of_your_
server: 格式添加新的更新服务器。为此,请遵循下面的步骤:
• 打开 ESET NOD Antivirus 高级设置并单击更新分支。
• 单击 更新服务器下拉菜单右侧的编辑...,并使用下面的格式添加新服
务器:http://IP_address_of_your_server:
•
从更新服务器列表中选择此新添加的服务器。
通过系统共享访问镜像
首先,应在本地或网络设备上创建共享文件夹。为镜像创建文件夹时,必
须为将更新文件保存到文件夹的用户提供“写入”权限,为所有将从镜像
文件夹更新 ESET NOD Antivirus 的用户提供“读取”权限。
接下来,在高级更新设置部分(镜像选项卡)中配置对镜像的访问,方法
是禁用通过内部 HTTP 服务器提供更新文件选项。程序安装包中默认启用
此选项。
如果共享文件夹位于网络中的其它计算机上,必须指定验证数据以便访问其
它计算机。要指定验证数据,打开 ESET NOD Antivirus 高级设置 (F),
然后单击更新分支。单击设置... 按钮,然后单击 LAN 选项卡。如“连接到
LAN”一章所述,此设置和用于更新的设置相同。
完成镜像配置后,请进入工作站并将 \\UNC\PATH 设置为更新服务器。可
使用下列步骤完成此操作:
• 打开 ESET NOD Antivirus 高级设置并单击 更新。
• 单击“更新服务器”旁的 编辑…,使用 \\UNC\PATH 格式添加一个新
服务器。
•
从更新服务器列表中选择此新添加的服务器。
注意: 要正常工作,镜像文件夹的路径必须指定为 UNC 路径。通过映射驱
动器进行的更新可能无法工作。

..... 镜像更新问题故障排除
根据访问镜像文件夹的方法不同,可能发生各种问题。大多数情况下,通
过镜像服务器更新时发生的问题可能由以下一种或多种情况引起:错误地
指定镜像文件夹选项,镜像文件夹验证数据不正确,尝试从镜像下载更新
文件的本地工作站上的配置不正确,或以上原因的综合。这里我们简要介
绍在从镜像更新过程中可能发生的最常见问题:
• 连接到镜像服务器时 ESET NOD Antivirus 报告错误 – 可能因错误
地指定本地工作站从中下载更新的更新服务器(镜像文件夹的网络路
径)引起。要验证文件夹,请单击 Windows 开始菜单,单击运行,插
入文件夹名称并单击确定。应显示文件夹的内容。
• ESET NOD Antivirus 需要用户名和密码 – 可能因在更新部分中输入
了错误的验证数据(用户名和密码)引起。用户名和密码用于授予对更
新服务器的访问权,程序将从更新服务器自行更新。确保验证数据正确
并以正确格式输入。例如,域/用户名或工作组/用户名,以及相应密
码。如果镜像服务器可供“所有人”访问,请注意,这不意味着向任何
用户授予访问权。“所有人”不意味着任何非授权用户,它仅表示文件
夹可供所有域用户访问。因此,如果文件夹可供“所有人”访问,仍需
要在更新设置部分中输入域用户名和密码。
• 连接到镜像服务器时 ESET NOD Antivirus 报告错误 – 定义用于访
问 HTTP 版镜像的端口上的通信被阻止。
.. 如何创建更新任务
更新可以手动方式触发,方法是从主菜单中单击更新,在显示的信息窗口
中单击更新病毒库。
更新也可以作为计划任务运行 – 要配置计划任务,单击工具 > 计划任务。
默认情况下,ESET NOD Antivirus 中会启用以下任务:
•
•
•
定期自动更新
拨号连接后自动更新
用户登录后自动更新
可以修改上述每个更新任务以满足您的需要。除了默认更新任务外,您还
可以使用用户定义的配置创建新更新任务。有关创建和配置更新任务的更
多详细信息,请参见“计划任务”一章。
. 计划任务
如果启用 ESET NOD Antivirus 中的“高级模式”,将可以使用计划任
务。计划任务位于 ESET NOD Antivirus 主菜单中工具下。计划任务包含
所有计划任务及其配置属性的摘要列表,例如预定义的日期、时间和使用
的扫描配置文件。
默认情况下,计划任务中显示以下计划任务:
•
•
•
•
•
定期自动更新
拨号连接后自动更新
用户登录后自动更新
用户登录后自动启动文件检查
成功更新病毒库后进行自动启动文件检查
要编辑现有计划任务(包括默认和用户定义的)的配置,请右键单击任务
然后单击编辑...,或选择要修改的任务然后单击编辑... 按钮。
.. 计划任务的目的
计划任务管理和启动具有预定义配置和属性的计划任务。配置和属性包含
日期和时间等信息以及执行任务期间使用的指定配置文件。
.. 创建新任务
若要在计划任务中创建新任务,请单击添加... 按钮或右击并从上下文菜单
中选择添加...。共有 种类型的计划任务:
•
•
•
•
•
•
运行外部应用程序
日志维护
系统启动文件检查
手动计算机扫描
更新
创建计算机状态快照

由于手动-计算机扫描和更新是最常用的计划任务,所以我们将解释如何添
加新更新任务。
从计划任务:下拉菜单中选择更新。单击下一步,然后在任务名称:字段
中输入任务名称。选择任务执行频率。有下列选项可用:一次、重复、
每日、每周和由事件触发。将根据选定的频率为您提供不同的更新参数。
然后,定义无法在计划时间执行或完成任务时要采取的操作。有以下三个
选项可用:
•
•
•
延至下次预定时间
尽快执行任务
如果自上次执行任务至今已超过指定时间间隔则立即执行任务(可以使
用任务间隔滚动框定义该间隔)
在下一步中,将显示当前计划任务的摘要窗口;“以特定参数执行任务”
选项应自动启用。单击“完成”按钮。
将显示一个对话窗口,允许您选择用于计划任务的配置文件。您可以在这
里指定主要配置文件和备用配置文件,后者用于用主要配置文件无法完成
任务的情况。在“更新配置文件”窗口中单击“确定”表示确认。新的计
划任务将添加到当前计划任务列表。
. 隔离区
隔离的主要任务是安全存储被感染文件。隔离文件的前提是文件出现以下
情况:无法清除、不安全或被建议删除,或被 ESET NOD Antivirus 错误
检测。
用户可根据需要隔离任何文件。如果文件行为可疑但未被病毒防护扫描程
序检测到,建议采取隔离措施。可将隔离的文件提交 ESET 的病毒实验室
进行分析。
可在表格中查看存储在隔离文件夹中的文件,表格中显示隔离的日期和时间、
被感染文件原始位置的路径、文件大小(字节数)、原因(用户添加…)
以及威胁数量等(如是否为包含多个渗透的压缩文件)。
.. 隔离文件
程序自动隔离被删除的文件(如果您尚未在警报窗口取消该选项)。如果
需要,您可以手动隔离任何可疑文件,方法是单击隔离... 按钮。这种情况
下,程序不会将原文件从其初始位置删除。也可以通过上下文菜单来实现
此目的 – 右键单击隔离窗口并选择添加...。
.. 从隔离区恢复
隔离的文件还可以恢复到其初始位置。使用恢复功能可达到此目的;在隔
离窗口中右键单击给定文件,然后从上下文菜单中选择相关项即可完成恢
复操作。上下文菜单还提供恢复至选项,使用此选项可将文件恢复到其被
删除时位置之外的其它位置。
注意:
如果程序错误地隔离了无害文件,请在文件恢复后将其移出扫描队列,并
发送给 ESET 客户服务部门。
.. 提交隔离区中的文件
如果您隔离的可疑文件程序未检测到,或文件被错误地评估为被感染(如
启发式扫描代码分析所做的评估)并被隔离,请将该文件发送到 ESET 的病
毒实验室。要提交隔离区中的文件,右键单击该文件并从上下文菜单中选
择提交文件以供分析。

. 日志文件
日志文件包含所有已发生的重要程序事件的信息,并提供检测到的威胁的
概要信息。日志记录是系统分析、威胁检测以及故障排除的必要工具。日
志记录在后台主动执行,无需用户交互。对信息的记录是根据当前日志级
别设置进行的。可以直接从 ESET NOD Antivirus 环境以及归档日志中查
看文本消息和日志。
单击工具 > 日志文件,可以从 ESET NOD Antivirus 主程序窗口访问日志
文件。使用窗口顶部的日志: 下拉菜单选择所需日志类型。可用日志包括:
. 检测到的威胁 – 使用此选项可以查看与渗透检测相关的所有事件信息。
. 事件 – 此选项用于帮助系统管理员和用户解决问题。ESET NOD
Antivirus 执行的所有重要操作都记录在事件日志中。
. 手动计算机扫描 – 所有已完成的扫描结果显示在此窗口中。双击任意条
目可查看相应手动扫描的详细信息。
在每一部分中,显示的信息都可以直接复制到剪贴板中,方法是选择条目,
然后单击复制按钮。要选择多个条目,可使用 CTRL 和 SHIFT 键。
.. 日志维护
可以从主程序窗口访问 ESET NOD Antivirus 日志记录配置。单击设置 >
进入完整高级设置树... > 工具 > 日志文件。您可以为日志文件指定以下选项:
• 自动删除记录: 自动删除指定天数以前的日志条目
• 自动优化日志文件 : 如果未用记录百分比超过指定值,则启用日志文件
的自动碎片整理
• 最低日志记录级别: 指定日志记录的级别。可用选项:
– 严重错误 – 仅记录严重错误(启动病毒防护等功能时发生的错误)
– 错误 – 仅记录“下载文件出错”消息和严重错误
– 警告 – 记录严重错误和警告消息
– 信息记录 – 记录包括成功更新消息及以上所有记录在内的信息性消息
– 诊断记录 – 记录程序微调需要的信息及以上所有记录
. 用户界面
ESET NOD Antivirus 的用户界面配置选项可做修改,以便用户根据自己
的需要调整工作环境。可以从 ESET NOD Antivirus 高级设置树的用户界
面分支访问这些配置选项。
用户使用用户界面元素部分能够根据需要切换到高级模式。高级模式显示
更多详细设置以及 ESET NOD Antivirus 的其它控件。
如果图形元素使计算机性能下降、或引起其它问题,则应禁用图形用户界
面选项。视觉有障碍的用户可能也需要关闭图形界面,因为用于阅读屏幕
上显示的文本的特殊应用程序可能与图形界面发生冲突。
如果要停用 ESET NOD Antivirus 启动画面,请禁用启动时显示启动画面
选项。
在 ESET NOD Antivirus 主程序窗口顶部有一个标准菜单,可根据使用标
准菜单选项启用或禁用该标准菜单。

如果启用显示工具提示选项,则在光标置于任何选项上时,系统将显示该
选项的简短说明。选择活动控件元素选项可使系统突出显示当前在鼠标光
标活动区域的任何元素。单击鼠标将启用突出显示的元素。
要减慢或提高动画效果的速度,请选择使用动画控件选项并将速度滑块移
动到左侧或右侧。
要启用动画图标显示各种操作的进度,请选中使用动画图标... 复选框。如
果想要程序在发生重要事件时发出警告声,请选中使用声音信号选项。
用户界面功能还包括用密码保护 ESET NOD Antivirus 设置参数的选项。
此选项位于用户界面下的访问保护子菜单中。为最大限度地保障系统安
全,必须正确配置程序。未经授权的更改可能导致丢失重要数据。要设置
密码保护设置参数,单击设置密码...
.. 警告和通知
用户界面下的警报和通知设置部分允许您配置如何在 ESET NOD
Antivirus 中处理威胁警报和系统通知。
第一项是显示警报。禁用该选项将取消所有警报窗口,这只适用于少数特
定情况。对于大多数用户,我们建议保留该选项的默认设置(已启用)。
要在一段时间后自动关闭弹出窗口,请选择提示消息框自动关闭前的等待
时间(秒)选项。如果用户未手动关闭,警报窗口会在超过指定时限后自
动关闭。
桌面通知和气球提示只提供信息,不提供也不需要用户交互。它们显示在
屏幕右下角的通知区域。要启动显示桌面通知,请选择桌面上显示通知选
项。可通过单击配置通知... 按钮更改通知显示时间和窗口透明度等更多详
细选项。要预览通知情况,请单击预览按钮。要配置气球提示显示时间,
请参见气球提示在任务栏中持续的时间(秒)选项。
单击高级设置... 可输入其他警报和通知设置选项,包括仅显示需要用户交
互的通知。此选项允许您显示/关闭不需要用户交互的警报和通知。选择
“在全屏模式下运行应用程序时,仅显示需要用户交互的通知”,可隐藏
所有非交互通知。在“要显示事件的最低级别”下拉菜单中,可以选择要
显示警报和通知的起始严重级别。
该部分的最后一项功能是在多用户环境中指定通知地址。对于多用户系统,
在用户屏幕上显示通知: 字段允许用户定义 ESET NOD Antivirus 重要
通知的接收者。正常情况下应该是系统管理员或网络管理员。假如所有系
统通知都发给管理员,则该选项对终端服务器尤为有用。
. ThreatSense.Net
ThreatSense.Net 预警系统是使 ESET 及时持续了解新渗透的工具。双向
ThreatSense.Net 预警系统只有一个目的 – 改进我们为您提供的保护。确
保我们在新威胁出现后立刻发现威胁的最好方法是“连接”尽可能多的客
户,将他们作为我们的威胁侦察员。有两种选择:
•
•
您可以决定不启用 ThreatSense.Net 预警系统。您不会丧失软件的任
何功能,并且您仍将获得我们可以提供的最好的保护。
您可以配置预警系统,在单个文件中提交关于新威胁以及新威胁代码所
在位置的匿名信息。此文件可以发送到 ESET 以供详细分析。研究这些
威胁将帮助 ESET 更新其威胁检测功能。ThreatSense.Net 预警系统将
收集您的计算机中与新检测到的威胁相关的信息。这些信息可以包括出
现威胁的文件的样本或副本、该文件的路径、文件名、日期和时间相关
信息、威胁出现在计算机上的过程,以及您的计算机操作系统的信息。
其中一些信息可能包括关于计算机用户的个人信息,例如目录路径中的
用户名等。这里提供一个所提交文件信息的示例。

虽然这可能偶尔向我们的 ESET 威胁实验室公开一些关于您或您的计算机的
信息,但除了帮助我们及时应对新威胁以外,这些信息将不会用于任何其
它目的。
默认情况下,ESET NOD Antivirus 配置为在提交可疑文件以供 ESET 威
胁实验室详细分析前先进行询问。应注意,如果在具有某些扩展名(例如
.doc 或 .xls)的文件中检测到威胁,则不会发送这类文件。如果您或您的
组织希望避免发送特定类型的文件,也可以添加其它扩展名。
ThreatSense.Net 设置可从工具 > ThreatSense.Net 中的高级设置树访问。
选中启用 ThreatSense.Net 预警系统复选框。这将允许您启用该系统,然
后单击高级设置... 按钮。
.. 可疑文件
您使用可疑文件选项卡可以配置以何种方式将威胁提交给 ESET 实验室进行
分析。
如果发现了可疑文件,可将其提交给我们的病毒实验室以便进行分析。如
果文件被证实是一个恶意应用程序,则下次病毒库更新中将添加对此程序
的检测。
可将文件提交设置为无需询问自动执行。如果选中此选项,可疑文件将从
后台发送。如果想知道已发送了哪些文件并确认提交,则选择提交前询问
选项。
如果不想提交任何文件,请选择不提交文件进行分析。注意:不提交文件
并不影响向 ESET 提交统计信息。统计信息在其自己的设置部分配置,相关
内容将在下一章介绍。
提交时间
可疑文件将尽快发送给 ESET 实验室以便于分析。建议使用永久 Internet
连接,这样可疑文件可及时发送,不致延误。其它选项是在更新期间提交
可疑文件。如果选中此选项,程序在更新期间将搜集可疑文件并上载到早
期预警系统服务器。
排除过滤器
并非所有文件都要提交进行分析。利用排除过滤器可从提交队列中排除
某些文件/文件夹。例如,将可能包含潜在机密信息的文件(如文档和电
子表格)排除在外是很有用的。默认情况下最常见的文件类型均被排除
(Microsoft Oce、OpenOce)。如果需要,可扩展排除文件的列表。
联系电子邮件
联系电子邮件随可疑文件一起发送给 ESET,如果需要更多关于提交文件的
信息供分析时可能会使用该邮件与您联系。请注意,除非需要更多信息,
否则 ESET 不会与您联系。
.. 统计
ThreatSense.Net 预警系统收集计算机的匿名信息,这些信息与新检测到
的威胁有关。该信息可能包括渗透名称、检测的日期和时间、ESET NOD
Antivirus 版本、计算机操作系统版本和位置设置等。统计信息通常一天向
ESET 服务器发送一次可两次。
提交的统计数据包示例:
# utc_time=2005‑04‑14 07:21:28
# country=“Slovakia“
# language=“ENGLISH“
# osver=5.1.2600 NT
# engine=5417
# components=2.50.2
# moduleid=0x4e4f4d41
# filesize=28368
# filename=C:\Documents and Settings\Administrator\
Local Settings\Temporary Internet Files\Content.IE5\
C14J8NS7\rdgFR1463[1].exe
提交时间
在提交时间部分,您可以定义统计信息提交的时间。如果选择尽快提交,
统计信息会在创建后立即发送。该设置适用于 Internet 连接永久可用的情
况。如果选择更新期间,将保留统计信息并在下次更新时一并提交。

.. 提交
在此部分中,您可以选择是通过 ESET 远程管理员还是直接将文件和统计信
息提交给 ESET。如果要确保可疑文件和统计信息交付给 ESET,请选择通
过远程管理员或直接提交给 ESET选项。如果选中此选项,程序将通过所有
可用手段提交文件和统计信息。通过远程管理员提交可疑文件意即将文件
和统计信息提交给远程管理员服务器,服务器再将其提交给 ESET 病毒实验
室。如果选择直接提交给 ESET 选项,所有可疑文件和统计信息会直接从程
序发送给 ESET 病毒实验室。
如果存在待提交的文件,此设置窗口中的立即提交按钮将启动。如果要立
即提交文件和统计信息,请单击此按钮。
选中启用日志记录复选框可启用文件和统计信息提交记录。每次提交一个
可疑文件或一条统计信息后,程序在事件日志中创建一个条目。
. 远程管理
远程管理是一件强大的工具,可用于维护安全策略和获得全面网络安全管
理概览。它对大型网络尤为有用。远程管理不仅能提升安全等级,还可为
客户端工作站的 ESET NOD Antivirus 管理提供方便。
可从 ESET NOD Antivirus 主程序窗口中访问远程管理设置选项。单击
设置 > 进入完整高级设置树... > 其它 > 远程管理。
可从“设置”窗口启动远程管理模式,方法是首先选中连接到远程管理员
服务器复选框。然后即可访问下述其它选项:
• 服务器地址 – 安装了远程管理员服务器的服务器的网络地址。
• 端口 – 该字段包括用于连接的预定义服务器端口。建议您保留预定义端
口设置 。
• 连接到服务器的间隔分钟数 – 该选项指定 ESET NOD Antivirus 连接
到 ERA 服务器以发送数据的频率。换句话说,程序以此处定义的时间
间隔发送信息。如果它被设置为 ,则将每 秒钟提交一次信息。
• 远程管理服务器需要验证 – 如果需要,则输入密码以连接到远程管理
员服务器。
单击确定确认更改并应用设置。ESET NOD Antivirus 将使用这些设置连
接到远程服务器。

. 许可
许可证分支用于管理 ESET NOD Antivirus 和其它 ESET 产品的许可证密
钥。购买后,许可证密钥连同用户名和密码一并交付。要添加/删除许可证
密钥,请单击许可证管理器窗口的相应按钮。许可证管理器可从其它 > 许可
证下的高级设置树访问。
许可证密钥是一个文本文件,其中包含有关所购买产品的相关信息:所有
者、许可证号以及到期日期。
许可证管理器窗口允许用户使用添加… 按钮上载和查看许可证密钥的内容 –
其中包含的信息显示在管理器中。要从列表删除许可证文件,请单击删除。
如果许可证密钥已过期,而您有意续订,请单击定购... 按钮 – 程序将把您
重定向到我们的在线商店。

. 高级用户
本章描述更高级用户可能需要用到的 ESET NOD Antivirus 的功能。这些
功能的设置选项只在高级模式中可用。要切换到高级模式,请单击主程序
窗口左下角的切换到高级模式或按键盘上的 CTRL + M 组合键。
. 代理服务器设置
在 ESET NOD Antivirus 中,可以从高级设置树结构的两个不同部分访问
代理服务器设置。
首先,可以在其它 > 代理服务器下配置代理服务器设置。在此级别指定代理
服务器可定义所有 ESET NOD Antivirus 的全局代理服务器设置。此处的
参数将用于需要连接到 Internet 的所有模块。
要指定此级别的代理服务器设置,请选中使用代理服务器复选框,然后将
代理服务器地址和代理服务器的端口号输入代理服务器: 字段。
如果与代理服务器的通信需要验证,请选中代理服务器需要验证复选框,
然后在相应字段中输入有效用户名和密码。单击检测代理服务器按钮自动
检测和插入代理服务器设置。程序将复制 Internet Explorer 中指定的参
数。请注意,该功能不检索验证数据(用户名和密码),这些数据必须由
用户提供。
还可以在高级更新设置(高级设置树的更新分支)中进行代理服务器设
置。此设置适用于给定更新配置文件,由于笔记本计算机常常从不同位置
获取病毒库更新,因此建议在笔记本计算机中使用此设置。有关此设置的
更多信息,请参见 . 节“更新系统”。
. 导出/导入设置
可以从高级模式的设置导出和导入 ESET NOD Antivirus 的当前配置。
导出和导入都使用 .xml 文件类型。如果要备份 ESET NOD Antivirus 的
当前配置供日后使用(无论出于何种原因),导出和导入则非常有用。对
于那些希望在多个系统中使用他们想要的 ESET NOD Antivirus 配置的用
户来说,导出设置选项也非常有用 – 只需导入 .xml 文件即可。
.. 导出设置
导出配置非常简单。要保存 ESET NOD Antivirus 的当前配置,请单击
设置 > 导入和导出设置...。选择导出设置选项并输入配置文件的名称。使
用浏览器在计算机上选择保存配置文件的位置。
.. 导入设置
导入配置的步骤非常相似。仍然选择导入和导出设置,然后选择导入设置
选项。单击 ... 按钮并浏览至要导入的配置文件。
. 命令列
可通过命令行启动 ESET Smart Security 的防病毒模块 - 手动
(使用“ecls”命令)或使用批处理(“bat”)文件。
从命令行运行手动扫描程序时,可使用以下参数和开关:
常规选项:
– help 显示帮助并退出
– version 显示版本信息并退出
– base-dir = FOLDER 从“文件夹”中加载模块
– quar-dir = FOLDER 隔离“文件夹”
– aind 显示活动指示符
– auto 在清除模式下扫描所有硬盘驱动器
目标:
– files 扫描文件(默认)
– no-files 不扫描文件
– boots 扫描引导区(默认)
– no-boots 不扫描引导区
– arch 扫描压缩文件(默认)
– no-arch 不扫描压缩文件
– max-archive-level = LEVEL 最多压缩文件嵌套“层数”
– scan-timeout = LIMIT 扫描压缩文件的最长“限制”时间
(秒)。如果扫描时间达到此限制值,
将停止扫描压缩文件,并继续扫描下一
个文件
– max-arch-size = SIZE 仅扫描压缩文件的前“若干”个字节
(默认值 = 无限制)
– mail 扫描电子邮件文件
– no-mail 不扫描电子邮件文件
– sfx 扫描自解压文件
– no-sfx 不扫描自解压文件
– rtp 扫描运行时加壳程序
– no-rtp 不扫描运行时加壳程序
– exclude = FOLDER 不扫描“文件夹”
– subdir 扫描子文件夹(默认)
– no-subdir 不扫描子文件夹
– max-subdir-level = LEVEL 最多子文件夹嵌套“层数”(默认值
= 无限制)
– symlink 跟随符号链接(默认)

– no-symlink 跳过符号链接
– ext-remove = EXTENSIONS
– ext-exclude = EXTENSIONS 不扫描具有指定“扩展名”的文件
(用冒号分隔)
方式:
– adware 扫描广告软件/间谍软件/风险软件
– no-adware 不扫描广告软件/间谍软件/风险软件
– unsafe 扫描潜在的不安全应用程序
– no-unsafe 不扫描潜在的不安全应用程序
– unwanted 扫描潜在的不受欢迎应用程序
– no-unwanted 不扫描潜在的不受欢迎应用程序
– pattern 使用签名
– no-pattern 不使用签名
– heur 启用启发式扫描
– no-heur 禁用启发式扫描
– adv-heur 启用高级启发式扫描
– no-adv-heur 禁用高级启发式扫描
清除:
– action = ACTION 对被感染的对象执行“操作”。可用
操作:none(无)、clean(清除)和
prompt(提示)
– quarantine 将被感染的文件复制到隔离区
(“操作”的补充措施)
– no-quarantine 不将被感染的文件复制到隔离区
日志:
– log-file = FILE 将结果记录到“文件”
– log-rewrite 覆盖结果文件(默认为“附加”)
– log-all 同时记录清除文件
– no-log-all 不记录清除文件(默认)
可能出现的扫描退出代码:
– 未发现威胁
– 发现威胁但未清除
– 仍存在一些被感染的文件
– 压缩文件错误
– 访问错误
– 内部错误
注意:
退出代码大于 表示未扫描文件,该文件可能被感染。
. ESET SysInspector
ESET SysInspector 是一款可彻底检查您的计算机并以全面的方式显示所收
集到的数据的应用程序。使用所收集到的诸如已安装的驱动程序和应用程
序、网络连接或重要的注册表项之类的信息,可以帮助您调查因软硬件不
兼容或恶意感染而导致的可疑系统行为。
您可以在 ESS/EAV 中找到 SysInspector。便携式应用程序 (SysInspector.
exe) 可从 ESET 网站免费下载。ESET NOD Antivirus 中包含有集成组
件。要打开 SysInspector 部分,请激活左下角的高级显示模式并单击工具 >
SysInspector。两个组件功能相同且具有相同的控件。唯一的区别在于管
理输出的方式。便携式应用程序允许您将系统快照导出到 XML 文件并保存
到磁盘。这在集成的 SysInspector 中也可以实现。另外,在 ESET NOD
Antivirus > 工具 > SysInspector 中,您可以方便地直接存储系统快照
(详细信息,请参见 ... SysInspector 作为 EAV 的组成部分)。
ESET SysInspector 扫描计算机时,请稍候片刻。这可能需要 秒钟或几
分钟,视硬件配置、操作系统以及计算机上安装的应用程序的数量而定。
.. 用户界面和应用程序用法
为了便于使用,可将主窗口分成四个部分:位于主窗口上方的程序控件、
位于左侧的导航窗口、位于中间右侧的说明窗口和位于主窗口右下角的详
细信息窗口。
... 程序控件
本部分包含 ESET SysInspector 中可用的所有程序控件的说明
文件
单击此处可存储当前的报告状态以供以后进行查看,还可打开以前存储的
报告。如果您要发布报告,建议生成适合发送的报告。此格式的报告会忽
略敏感信息。
注释:您只需将以前存储的 ESET SysInspector 报告拖放到主窗口中即可打开。
树
可使您扩展或关闭所有节点
列表
包含便于在程序中导航的功能及各种其他功能(如联机查找信息)。
重要信息:红色突出显示的项目为未知,这就是程序将其标记为潜在危险
的原因。如果某个项目为红色,并不完全意味着您可以删除该文件。删除
该文件前,请确保这些文件确实危险或是不需要的文件。
帮助
包含有关应用程序及其功能的信息。
详细信息
影响主窗口的其他部分显示的信息,从而使用程序更加简单。在基本模式
下,您有权访问用于查找系统常见问题解决方案的信息。在中等模式下,
程序会显示不常用的详细信息,而在完全模式下,ESET SysInspector 会显
示解决特定问题所需的所有信息。
项目过滤
项目过滤功能最适合于在系统中查找可疑文件或注册表项。通过调节滑块,
您可以按风险级别过滤项目。如果将滑块设置到最左侧(风险级别 ),
则会显示所有的项目。通过将滑块移动到右侧,程序会过滤出低于当前风
险级别的所有项目,并仅显示可疑程度超过显示级别的项目。将滑块移动
到最右侧,程序仅显示已知的有害项目。
风险范围在 到 级的所有项目会带来安全风险。如果您不使用 ESET 中的
某些安全解决方案,则建议您在程序发现任何此类项目后使用 ESET 在线扫
描程序扫描您的系统。ESET 在线扫描程序是一项免费服务,可供使用的网
址为 http://www.eset.eu/online-scanner。
注释:通过将某个项目的颜色与风险级别滑块的颜色进行比较,可迅速确
定该项目的风险级别。
搜索
搜索可用于按名称或名称的一部分迅速查找特定项目。搜索请求的结果显
示在说明窗口中。
返回
在说明窗口中单击向后或向前键头可返回到以前显示的信息。
状态部分
显示导航窗口中的当前节点。

... 导航 ESET SysInspector
ESET SysInspector 将各种类型的信息划分到几个叫做节点的基本部分。如
果可用,还可以通过将每个节点扩展到其子节点找到其他详细信息。要打开
或折叠某个节点,只需双击节点的名称,或单击节点名称旁边的 或 即
可。当您在导航窗口浏览节点和子节点的树结构时,可能会找到说明窗口中
显示的每个节点的各种详细信息。如果您浏览说明窗口中的项目,在详细信
息窗口中可能会显示每个项目的其他详细信息。
下列说明用于导航窗口的主节点及说明窗口和详细信息窗口中的相关信息。
运行进程
此节点包含了生成报告时运行的应用程序和进程的相关信息。在说明窗口
中,可以找到每个进程的其他详细信息,如进程使用的动态库及其在系统
中的位置、应用程序供应商的名称、文件的风险级别等。
详细信息窗口包含在说明窗口中选定的项目的其他信息,如文件大小或其
哈希。
注意:操作系统由几个全天运行并向其他用户应用程序提供基本和重要功
能的重要内核组件构成。在某些情况下,这样的进程显示在文件路径以 \??\
开头的 ESET SysInspector 工具中。这些符号为这些进程提供预启动优化,
它们对于系统来说是安全的,因此是正确的。
网络连接
说明窗口包含一系列进程和使用在导航窗口(TCP 或 UDP)中选定的协议
通过网络进行通信的应用程序,以及应用程序连接到的远程地址。您还可
以检查分配指派 IP 地址的 DNS。
详细信息窗口包含在说明窗口中选定的项目的其他信息,如文件大小或其
哈希。
重要的注册表项
包含选定注册表项的一个列表,这些注册表项所涉及的各种问题通常与您
的系统相关,如指定启动程序、浏览器帮助程序对象 (BHO) 等。
在说明窗口中,您可能会发现与特定注册表项相关的那些文件。在详细信
息窗口中,您可能还会看到其他详细信息。
服务
说明窗口包含一个注册为 Windows 服务的文件列表。您可以检查将服务设
置为启动状态的方法及详细信息窗口中相关文件的特定详细信息。
驱动程序
系统中安装的一系列驱动程序。
关键文件
说明窗口显示与 Microsoft Windows 操作系统相关的关键文件的内容。
系统信息
包含硬件和软件的详细信息及设置环境变量和用户权限的相关信息。
文件详细信息
一系列重要系统文件和“程序文件”文件夹中的文件。在说明窗口和详细
信息窗口中可以找到特定于文件的其他信息。
关于
关于 ESET SysInspector 的信息
... 比较
比较功能允许用户比较两个现有日志。此功能的输出是一组对这两个日志
不常见的项目。如果您想保持对系统中更改的跟踪(例如,您可以检测恶
意代码的活动),这很适用。
启动该功能后,应用程序会新建一个日志,该日志会显示在新窗口中。导
航到文件 –> 保存日志以将日志保存到某个文件。稍后将可打开并查看日志
文件。要打开一个现有的日志,请使用菜单文件 –> 打开日志。在主程序窗
口中,ESET SysInspector 一次仅显示一个日志。
如果比较两个日志,原则取决于当前活动的日志与文件中保存的日志的比
较情况。要比较日志,请使用选项文件 –> 比较日志并选择选择文件。系统
将会对选定的日志和主程序窗口中的活动日志进行比较。结果,所谓的比
较日志将仅显示这两个日志间的差异。
注释:如果比较两个日志文件,请选择文件 –> 保存日志,将其另存为 ZIP
格式的压缩文件,程序即会保存两个文件。如果您稍后要打开此类文件,
系统会自动比较包含的日志。
显示项目的旁边,SysInspector 会显示标识比较日志间差异的符号。标记
的项目仅 可以在活动日志中找到,且不会出现在打开的比较日志中。另
一侧标记为 的项目仅出现在打开的日志中,且在活动日志中不存在这样
的项目。
所有符号的说明显示在下列项目的旁边:
新值,不存在于以前的日志中
树结构部分包含新值
删除的值,仅出现在以前的日志中
树结构部分包含删除的值
已更改值/文件
树结构部分包含修改的值/文件
风险级别已降低/在以前的日志中风险级别较高
风险级别已增加/在以前的日志中风险级别较低
左下角显示的说明部分对所有符号进行了说明,并显示要比较的日志的名称。
可以将所有比较日志保存到某个文件并可在稍后打开。
示例:
生成并保存日志,向一个名为 previous.xml 的文件中记录关于系统的原始
信息。更改完系统后,打开 SysInspector 并使其生成一个新日志。将其保
存到名为 current.xml 的文件。
按顺序跟踪这两个日志间的更改,导航到文件 –> 比较日志。该程序将创建
一个显示这些日志间差异的比较日志。
如果您使用下列命令行选项,会获得同样的结果:
SysIsnpector.exe current.xml previous.xml
... SysInspector 作为 ESET NOD Antivirus 的组成部分
要在 ESET NOD Antivirus 中打开 SysInspector 部分,请单击工具 >
SysInspector。SysInspector 窗口中的管理系统类似于计算机的扫描日志
或计划任务。对系统快照的所有操作(创建、查看、比较、删除和导出)
都可通过单击一次或两次进行访问。
SysInspector 窗口包含有关创建快照的基本信息,如创建快照和快照状态
的创建时间、简短注释和用户名称。
要比较、添加... 或删除快照,请使用 SysInspector 窗口中快照列表下的相
应按钮。上下文菜单中也提供了这些选项。要查看选定的系统快照,请使
用查看上下文菜单选项。要将选定快照导出到某个文件,请右键单击,并
选择导出...。下面是可用选项的详细说明:
比较 – 允许您比较两个现有日志,该选项在您要跟踪当前日志和旧日志间的
更改时才适用。要使此选项生效,您必须选择两个要比较的快照。

添加 – 可创建新记录。执行此操作之前,必须输入一个有关该记录的简短注
释。要按百分率查看快照的创建进程(当前生成快照的进程),请参见状态
栏。所有完成的快照标记为已创建状态。
删除 – 从列表中删除条目
显示 – 显示选定的快照,另外您可以双击选定的条目。
导出... – 在 XML 文件(还可以用压缩版)中保存选定的条目
... 服务脚本
服务脚本是直接影响操作系统和所安装的应用程序的工具,它允许用户执
行可删除系统中有问题的组件的脚本,这些有问题的组件包括病毒、病毒
残余、阻止的文件、注册表中的病毒记录等。该脚本存储在从预先存在
的 .xml 文件生成的文本文件中。.txt 脚本文件中的数据简单易读,方便使
用。该脚本将初始表现为中性行为。换言之,在其初始形式下,它不会对
系统有任何影响。用户需要为其编辑脚本才会有效果。
警告:
此工具仅适用于高级用户。错误的使用可能导致对程序或操作系统的损坏。
.... 生成服务脚本
要生成脚本,在 SysInspector 主窗口中右键单击菜单树(在左侧窗格中)
中的任意项。在上下文菜单中,选择导出所有部分到服务脚本选项或导出
选定部分到服务脚本选项。
.... 服务脚本的结构
在脚本标题的第一行,您可以找到有关引擎版本 (ev)、GUI 版本 (gv) 和日
志版本 (lv) 的信息。您可以使用此数据跟踪 .xml 文件中可能发生的更改,
该 .xml 文件生成脚本并防止在执行期间的任何不一致性。不应改动脚本的
此部分。
文件的其余内容分为几个部分,其中的项可以编辑(表示这些内容将由脚
本处理)。通过将某项前的“-”字符替换为“+”字符,可标记用于处理
的项。脚本中的各部分由空行相互分隔。每一部分有编号和标题。
) 运行进程
此部分包含在系统上运行的所有进程的列表。每个进程由其 UNC 路径和其
后的以星号 (*) 显示的 CRC hash 代码识别。
示例:
01) Running processes:
- \SystemRoot\System32\smss.exe *4725*
- C:\Windows\system32\svchost.exe *FD08*
+ C:\Windows\system32\module32.exe *CF8A*
[...]
在此示例中,选择了进程 module.exe(由“+”字符标记);执行该脚
本将结束该进程。
) 载入的模块
此部分列出当前使用的系统模块。
示例:
02) Loaded modules:
- c:\windows\system32\svchost.exe
- c:\windows\system32\kernel32.dll
+ c:\windows\system32\khbekhb.dll
- c:\windows\system32\advapi32.dll
[...]
在此示例中,模块 khbekhb.dll 由“+”号标记。当脚本运行时,将识别使
用该特定模块的进程并将其终止。
) TCP 连接
此部分包含关于现有 TCP 连接的信息。
示例:
03) TCP connections:
- Active connection:127.0.0.1:30606
-> 127.0.0.1:55320, owner:- Active
connection:127.0.0.1:50007 -> 127.0.0.1:50006,
- Active connection:127.0.0.1:30606 ->
127.0.0.1:55320, owner:OUTLOOK.EXE
- Listening on *, port 135 (epmap), owner:svchost.exe
+ Listening on *, port 2401, owner:fservice.exe
Listening on *, port 445 (microsoft-ds), owner:System
[...]
当脚本运行时,它将查找标记的 TCP 连接中的套接字的所有者,并停止该
套接字以释放系统资源。
) UDP 端点
此部分包含关于现有 UDP 端点的信息。
示例:
04) UDP endpoints:
- 0.0.0.0, port 123 (ntp)
+ 0.0.0.0, port 3702
- 0.0.0.0, port 4500 (ipsec-msft)
- 0.0.0.0, port 500 (isakmp)
[...]
当脚本运行时,它将隔离在标记的 UDP 端点处的套接字的所有者,并停止
该套接字。
) DNS 服务器项
此部分包含关于当前 DNS 服务器配置的信息。
示例:
05) DNS server entries:
+ 204.74.105.85
- 172.16.152.2
[...]
当您运行脚本时,将删除标记的 DNS 服务器项。
) 重要注册表项
此部分包含关于重要注册表项的信息。
示例:
06) Important registry entries:
* Category:Standard Autostart (3 items)
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HotKeysCmds = C:\Windows\system32\hkcmd.exe
- IgfxTray = C:\Windows\system32\igfxtray.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Google Update = “C:\Users\antoniak\AppData\Local\
Google\Update\GoogleUpdate.exe” /c
* Category:Internet Explorer (7 items)
HKLM\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = http://thatcrack.com/
[...]
标记的项将删除,降低为 字节值或在脚本执行时重置为默认值。要应用
到特定项的操作取决于项类别和特定注册表中的关键值。
) 服务
此部分列出在系统中注册的服务。
示例:

07) Services:
- Name:Andrea ADI Filters Service, exe path:c:\
windows\system32\aeadisrv.exe, state:Running,
startup:Automatic
- Name:Application Experience Service, exe path:c:\
windows\system32\aelupsvc.dll, state:Running,
startup:Automatic
- Name:Application Layer Gateway Service, exe
path:c:\windows\system32\alg.exe, state:Stopped,
startup:Manual
[...]
标记的服务及其相关服务将在脚本执行时停止和卸载。
) 驱动程序
此部分列出安装的驱动程序。
示例:
08) Drivers:
- Name:Microsoft ACPI Driver, exe path:c:\windows\
system32\drivers\acpi.sys, state:Running, startup:Boot
- Name:ADI UAA Function Driver for High Definition
Audio Service, exe path:c:\windows\system32\drivers\
adihdaud.sys, state:Running, startup:Manual
[...]
当您执行脚本时,选择的驱动程序将从系统注销并删除。
) 关键文件
此部分包含关于对操作系统的正常运行至关重要的文件的信息。
示例:
09) Critical files:
* File:win.ini
- [fonts]
- [extensions]
- [files]
- MAPI=1
[...]
* File:system.ini
- [386Enh]
- woafont=dosapp.fon
- EGA80WOA.FON=EGA80WOA.FON
[...]
* File:hosts
- 127.0.0.1 localhost
- ::1 localhost
[...]
选择的项将被删除或重置为其原始值。
.... 如何执行服务脚本
标记所有想要的项,然后保存并关闭脚本。通过从“文件”菜单选择运行
服务脚本选项,直接从 SysInspector 主窗口运行编辑的脚本。当您打开脚
本时,程序将提示以下消息:确定要运行服务脚本“%Scriptname%”
吗?确认选择之后,可能出现另一条警告,通知您尝试运行的服务脚本还
未签名。单击运行启动脚本。
显示的对话框窗口将确认脚本执行成功。
如果脚本仅可部分处理,则显示带有以下消息的对话框窗口:服务脚本只
运行了一部分。确定要查看错误报告吗?选择是查看复杂的错误报告,其
中列出未执行的操作。
如果您看到以下消息,则您的脚本被认为无效并且不会运行:脚本一致性
方面存在任何问题(损坏的文件头、错误的部分标题、不同部分之间缺少
空行等)吗?您可以重新打开脚本文件并在脚本中更正错误或者创建新的
服务脚本。
. ESET SysRescue
ESET Recovery CD (ERCD) 是一款可以创建包含 ESET NOD Antivirus
(EAV) 的可引导磁盘的实用程序。ESET Recovery CD 的主要优点是 EAV 的
运行独立于主机操作系统,同时它可以直接访问磁盘和整个文件系统。
因此,这就可能删除以前通常无法删除的渗透,例如当操作系统正在运行
时等。
.. 最低需求
ESET SysRescue (ESR) 可在 Microsoft Windows Preinstallation
Environment (Windows PE) .x 版中运行,这是以 Windows Vista 为基础。
Windows PE 是免费程序包 Windows Automated Installation Kit
(Windows AIK) 的一部分,因此,必须在创建 ESR 前安装 Windows AIK。
由于支持 位版本的 Windows PE,所以,仅可以在 位版本的 ESS/EAV
中创建 ESR。ESR 支持 Windows AIK . 和更高版本。ESR 在 ESS/EAV .
和更高版本中提供。
.. 如何创建修复 CD
如果满足创建 ESET SysRescue (ESR) CD 的最低要求,则完成这项任务
将变得十分轻松。要启动 ESR 向导,请单击开始 > 程序 > ESET > ESET
NOD Antivirus > ESET SysRescue。
首先,该向导会检查是否有 Windows AIK 和引导介质创建的合适设备。
下一步,选择 ESR 所在的目标介质。除 CD/DVD/USB 外,您还可以选择在
ISO 文件中保存 ESR。然后,您就可以在 CD/DVD 上刻录 ISO 映象,或将其
用于其它方面(例如,用于诸如 VmWare 或 Virtualbox 的虚拟环境中)。
在您指定所有参数后,就可以在 ESET SysRescue 向导的最后步骤中看到一
个编译预览。检查参数并启动编译。可用选项包括:
文件夹
ESET Antivirus
高级
USB 引导设备
刻录
... 文件夹
临时文件夹是在 ESET SysRescue 编译过程中所需的文件的工作目录。
ISO 文件夹是一个文件夹,是完成编译后最终 ISO 文件的保存位置。
此选项卡上的列表显示所有本地网络驱动器和映射网络驱动器,同时还显
示可用的空间。如果这里的某些文件夹所在的驱动器上的可用空间不足,
则建议您另选一个可用空间较多的驱动器。否则,编译会因可用磁盘空间
不足而提前退出。
外部应用程序
允许您指定通过 SysRescue 介质引导后将运行或安装的其他程序。
包括外部应用程序 – 启用添加外部应用程序到 SysRescue 编译
选定文件夹 – 要添加到 SysRescue 磁盘的程序所在的文件夹
... ESET 病毒防护
要创建 ESET SysRescue CD,可以从两个来源选择编译器所使用的 ESET
文件。
EAV 文件夹 – 文件已位于计算机上用于安装 ESET 产品的文件夹中
MSI 文件 – MSI 安装程序所使用的文件
配置文件 – 您可以使用下列两个用户名和密码来源中的一个:
安装的 EAV – 从当前已安装的 ESET NOD Antivirus 或 ESET NOD
中复制用户名和密码
来自用户 – 使用在下列相应文本框中输入的用户名和密码
注意:ESET SysRescue CD 上的 ESET NOD32 Antivirus 4 或 ESET NOD32

Antivirus 可以从 Internet 更新,也可以从安装在运行 ESET SysRescue CD
的计算机上的 ESET Security 解决方案中更新。
... 高级
使用高级选项卡可以根据计算机内存大小来优化 ESET SysRescue CD。选
择 MB 及以上可以将 CD 的内容写入工作内存 (RAM)。如果选择小于
MB,则在 WinPE 运行之前提前访问恢复 CD。
外部驱动程序 – 在此部分中,您可以插入特定硬件(通常为网络适配器)
的驱动程序。尽管 WinPE 基于支持大量硬件的 Windows Vista SP,但有
时还是会有一些硬件未被识别,需要手动添加驱动程序。有两种方法可以
将驱动程序引入 ESET SysRescue 编译 – 手动(添加按钮)和自动(自动搜
索按钮)。如果是手动引入,则需要选择指向相应 .inf 文件的路径(此文
件夹中必须存在适用的 *.sys 文件)。如果是自动引入,则会在给定计算机
的操作系统中自动找到驱动程序。建议仅当使用 SysRescue 的计算机的网
络适配器与创建 SysRescue 的计算机上使用的网络适配器相同时,才使用
自动引入。在创建 ESET SysRescue 期间,驱动程序会引入编译中,因此用
户不需要以后单独查找。
... USB 引导设备
如果您已选择了 USB 设备作为目标介质,则可以在 USB 引导设备选项卡上
选择其中一个可用的 USB 磁盘(以防有多个 USB 设备)。
警告:在创建 ESET SysRescue 过程中将格式化所选的 USB 设备,这意味着
设备上的所有数据都将被删除。
... 刻录
如果您已选择了 CD/DVD 作为目标介质,则可以在刻录选项卡上指定其它
刻录参数。
删除 ISO 文件 – 选中此选项可以在创建 ESET Rescue CD 后删除 ISO 文件。
已启用删除 – 允许选择快速清除和完全清除。
刻录设备 – 选择要用于刻录的驱动器。
警告:这是默认选项。如果使用可写入 CD/DVD,则会清除所有包含的数据。
“介质”部分包含有关在 CD/DVD 设备中插入的当前介质的信息。
刻录速度 – 从下拉菜单中选择所需的速度。在选择刻录速度时,应考虑刻
录设备的功能和所使用 CD/DVD 的类型。
.. 使用 ESET SysRescue
为能有效使用修复 CD/DVD/USB,您必须让计算机从 ESET SysRescue 引
导介质引导。引导优先级可以在 BIOS 中修改。或者,您可以在计算机启动
过程中调用引导菜单,通常使用 F – F 键之一,具体取决于主板/BIOS 的
版本。
在引导后,ESS/EAV 将启动。因为 ESET SysRescue 仅在特定的情况下使
用,所以并不需要常规 ESS/EAV 中的某些保护模块和程序功能;这些模块
和功能仅限于计算机扫描、更新以及设置中的某些部分。更新病毒库的功
能是 ESET SysRescue 中最重要的功能。建议在启动计算机扫描前先更新
程序。
... 使用 ESET SysRescue
假设网络中的计算机已被修改可执行 (EXE) 文件的病毒感染。ESS/EAV 能
够清除所有被感染文件,但 explorer.exe 除外,该文件无法清除,即使在
安全模式下也是如此。
这是因为,作为 Windows 进程必不可少的一部分,explorer.exe 也是在安
全模式下启动的。ESS/EAV 无法对该文件执行任何操作,因此它仍是被感染
文件。
在这种情况下,您可以使用 ESET SysRescue 解决该问题。ESET SysRescue
不需要主机操作系统的任何组件。因此,它能够在该磁盘上处理(清除、
删除)任何文件。

. 病毒库
. 渗透类型
渗透是一种试图进入和/或损坏用户计算机的恶意软件。
.. 病毒
计算机病毒是破坏计算机上现有文件的渗透。计算机病毒之所以用生物学
上的“病毒”一词命名,是因为它们使用类似手法在计算机之间传播。
计算机病毒主要攻击可执行文件和文档。为进行复制,病毒将“本体”附
加在目标文件末尾。计算机病毒的工作方式可简述如下:执行被感染文件
后,病毒(在原始应用程序之前)自我启动并执行其预定义的任务。只有
在此之后,原始应用程序才开始运行。除非用户自己(意外或故意)运行
或打开恶意程序,否则病毒无法感染计算机。
计算机病毒的活动和严重性各有不同。其中有些病毒非常危险,因为它们
会故意删除硬盘驱动器上的文件。另一方面,一些病毒不造成实际破坏,
它们只是骚扰用户,展示其作者的技术技巧。
必须注意,病毒(相比木马或间谍软件)正越来越少见,因为它们对恶意
软件作者的商业吸引力不足。而且,“病毒”一词常常被误用来涵盖所有
类型的渗透。目前这种状况正在逐渐改变,人们开始使用更为准确的术
语“恶意软件”。
如果您的计算机感染了病毒,必须将被感染文件恢复为初始状态,即通过
使用病毒防护程序清理它们。
病毒示例包括:OneHalf、Tenga 和 Yankee Doodle。
.. 蠕虫
计算机蠕虫是包含可通过网络攻击主机并传播的恶意代码的程序。病毒和
蠕虫的基本区别在于蠕虫具有自我复制和传播的能力。它们不依赖主机文
件(或引导区)。
蠕虫通过电子邮件或网络数据包传播。在这点上,蠕虫可以分为两种方式:
• 电子邮件 – 将自己分发到用户联系人列表中的电子邮件地址
• 网络 – 利用各种应用程序中的安全漏洞。
因此,蠕虫的生存能力远超过计算机病毒。由于 Internet 的广泛应用,它
们可以在发布后数小时内传播到世界各地 – 在某些情况下,甚至只需数分
钟。这种独立快速复制的能力使得它们比其它类型恶意软件(如病毒)更
加危险。
在系统中启动的蠕虫会带来多种不便:它可以删除文件、降低系统性能,
或者甚至停止一些程序。计算机蠕虫的特性使其适合作为其它类型渗透
的“传输方式”。
如果您的计算机感染了计算机蠕虫,建议您删除被感染文件,因为它们可
能包含恶意代码。
著名的蠕虫示例包括:Lovsan/Blaster、Stration/Warezov、Bagle 和
Netsky。
.. 木马
历史上对计算机木马的定义是,试图以有用程序的假面具欺骗用户允许其
运行的一类渗透。请注意,过去的木马确实是这样,但现在它们已无需伪
装自己。它们唯一的目的就是尽可能轻松地渗透并完成其恶意目标。“木
马”已成为一个通用词,用来形容不属于任何特定类别的所有渗透。
由于其涵盖范围非常广,因此常被分为许多子类别。最著名的包括:
•
•
•
downloader – 一种能够从 Internet 下载其它渗透的恶意程序。
dropper – 一种设计用于将其它类型恶意软件放入所破坏的计算机中的
木马。
backdoor – 一种与远程攻击者通信,允许它们获得系统访问权并控制
系统的应用程序。
•
•
keylogger –(按键记录程序),一种记录用户键入的每个按键并将信
息发送给远程攻击者的程序。
dialer – 是用于连接附加计费号码的程序。用户几乎无法注意到新连接
的创建。Dialer 只能对使用拨号调制解调器(现在已很少使用)的用
户造成破坏。
木马通常采用带有扩展名 .exe 的可执行文件形式。如果计算机上的文件被
检测为木马,建议您将其删除,因为它极有可能包含恶意代码。
著-名的木马示例包括:NetBus、Trojandownloader.Small.ZL、Slapper
.. Rootkit
Rootkit 是一种恶意程序,它能在隐瞒自身存在的同时赋予 Internet 攻击
者不受限制的系统访问权。访问系统(通常利用系统漏洞)后,Rootkit
可使用操作系统中的功能避开病毒防护软件的检测:它们能够隐藏进程、
文件和 Windows 注册表数据。因此,使用普通测试技术几乎无法检测到
它们。
在防范 rootkit 方面,请牢记有两种检测级别:
. Rootkit 试图访问系统时。它们还未出现,因此处于不活动状态。大部
分病毒防护系统能够清除此级别的 rootkit(假定其实际检测到此类文
件被感染)。
. Rootkit 隐藏起来避开了常规测试时。ESET 病毒防护系统的用户可以
利用反隐藏技术应对,该技术能够检测到并清除活动的 rootkit。
.. 广告软件
广告软件是支持广告宣传的软件的简称。显示广告资料的程序便属于这一
类别。广告软件应用程序通常会在 Internet 浏览器中自动打开一个包含广
告的新弹出窗口,或者更改浏览器主页。广告软件通常与免费软件程序捆
绑在一起,以填补开发人员开发应用程序(通常为有用程序)的成本。
广告软件本身并不危险 – 用户只是受到广告的干扰。广告软件的危险在于
它也可能执行跟踪功能(和间谍软件一样)。
如果您决定使用免费软件产品,请特别注意安装程序。安装程序大多会通
知您将安装附加的广告软件程序。通常您可以取消它,安装不带有广告软
件的程序。另一方面,如果不安装广告软件,程序可能无法安装,或者功
能受到限制。这意味着,广告软件可能常常以“合法”方式访问系统,因
为用户已同意安装它。在这种情况下,与其事后追悔莫及,不如事前稳妥
行事。
如果在计算机上检测到一个文件是广告软件,建议您将其删除,因为它极
有可能包含恶意代码。
.. 间谍软件
此类别包括所有在未经用户同意/了解的情况下发送私人信息的应用程序。
它们使用跟踪功能发送各种统计数据,例如所访问网站的列表,用户联系
人列表中的电子邮件地址或键入按键的列表。
间谍软件的作者宣称,这些技术旨在更好地了解用户需求和兴趣,从而使
广告更有针对性。问题在于,有用和恶意的应用程序之间并没有明显的差
别,任何人都无法确保检索到的信息不会被滥用。间谍软件应用程序获得
的数据可能包括安全代码、PIN、银行帐号等。程序的作者通常将间谍软件
与其免费版本程序捆绑,以获取收益或促使用户购买软件。通常情况下,
程序在安装时会告知用户存在间谍软件,以促使其将软件升级为不带间谍
软件的付费版本。
譬如 PP(点对点)网络客户端应用程序就是著名的捆绑了间谍软件的免费
软件产品。Spyfalcon 或 Spy Sheri(以及更多)属于特定的间谍软件子类
别 – 它们看上去像间谍软件防护程序,实际上其本身就是间谍软件程序。
如果在计算机上检测到一个文件是间谍软件,建议您将其删除,因为它极
有可能包含恶意代码。

.. 潜在的不安全应用程序
许多合法程序可简化联网计算机的管理。但如果使用者动机不纯,它们也
可能被恶意使用。这就是 ESET 创建此特殊类别的原因。我们的客户现在可
以选择病毒防护系统是否检测此类威胁。
“潜在的不安全应用程序”是指用于商业目的的合法软件。其中包括远程
访问工具、密码破解应用程序以及按键记录器(用于记录用户键盘输入信
息)等程序。
如果您发现计算机上存在且正在运行可能不安全的应用程序(而您并没有
安装它),请咨询您的网络管理员或删除该应用程序。
.. 潜在不受欢迎的应用程序
潜在不受欢迎的应用程序未必是恶意的,但它会对计算机性能产生负面影
响。此类应用程序通常在安装前提请用户同意。如果计算机上安装了这类
程序,系统运行(与安装前相比)会有所不同。其中最显著的变化是:
•
•
•
•
•
系统会打开以前没见过的新窗口
启动并运行隐藏的进程
系统资源的使用增加
搜索结果发生改变
应用程序会与远程服务器通信